偽のインストールログを使用してマルウェアアクティビティを隠すという新しい悪意のあるnpmキャンペーンがセキュリティ研究者によって特定されました。
ReversingLabsによって発見された攻撃は、正当なソフトウェアインストールプロセスを模倣しながら、機密データと暗号資産ウォレットを盗むように設計されたマルウェアを秘密裏にダウンロード・実行する悪意のあるパッケージを含みます。
「ゴーストキャンペーン」と呼ばれるこのキャンペーンは2月初旬に始まり、ダウンローダー機能を持つ複数の悪意のあるパッケージを含みます。これらのパッケージはインストール中にユーザーのsudoパスワードを取得しようとし、後でそのパスワードが被害者のシステムでリモートアクセストロイの木馬(RAT)を実行するために使用されます。
カバーとして使用される偽のインストールログ
研究者は、悪意のあるパッケージが依存関係のダウンロード、インストール進行状況バー、および実際のインストール活動をシミュレートするためのランダムな遅延についてのメッセージを含む偽のnpmインストールログを表示していることを発見しました。
ログには依存関係のダウンロード、インストール進行状況バー、および実際のインストール活動をシミュレートするためのランダムな遅延についてのメッセージが含まれていました。実際には、これらのアクションは何も行われていません。
偽のインストール中のある時点で、ユーザーは原因不明のインストール問題を修正または最適化タスクを実行するためにsudoパスワードを入力するよう促されました。入力されると、ユーザーが気付かないうちにパスワードが最終マルウェアステージを実行するために使用されました。
サプライチェーン攻撃についてもっと読む: Trivyサプライチェーン攻撃が新しく侵害されたDockerイメージで拡大
最終的なマルウェアペイロードはTelegramチャネルと隠されたweb3コンテンツを含む外部ソースからダウンロードされました。その後、オンラインで取得されたキーを使用して復号化され、盗まれたsudoパスワードを使用してローカルで実行されました。
暗号資産と機密データを盗むように設計されたマルウェア
最終段階のマルウェアは、暗号資産ウォレットを盗む、機密情報を収集し、コマンド・アンド・コントロール(C2)サーバーからコマンドを受け取ることが可能なリモートアクセストロイの木馬でした。いくつかのバージョンには、データ盗難機能を強化した追加ファイルが含まれていました。
研究者は、複数のパッケージが同様のコード構造と手法を共有していることに気付き、新しいキャンペーンまたはより大規模な操作の初期テスト実行のいずれかを示唆しています。同様の方法は、最近報告された他の悪意のあるnpmパッケージでも観察されました。
研究者は、悪意のあるオープンソースパッケージへのエクスポーザーを減らすためにいくつかのステップを推奨しています:
-
パッケージの作者とリポジトリの履歴を確認する
-
インストールスクリプトと異常なプロンプトを監視する
-
自動化されたセキュリティスキャンツールを使用する
-
パッケージインストール中にsudoパスワードの入力を避ける
ReversingLabsは、同様の脅威についてnpmリポジトリの監視を続け、発見されると同時に悪意のあるパッケージにフラグを立てると述べました。
翻訳元: https://www.infosecurity-magazine.com/news/npm-ghost-campaign-fake-install/
