広く使用されているAxios HTTPクライアントに対する深刻で巧妙なサプライチェーン攻撃がnpmレジストリで発生し、世界中の数百万の開発者が任意のコマンド実行と機密システムデータの抽出が可能なクロスプラットフォームのリモートアクセストロイ(RAT)にさらされています。
どちらのリリースもGitHubの対応するコミットやタグがなく、攻撃者がプロジェクトの通常のGitHub Actions CI/CDパイプラインを完全に回避したことが確認されています。
攻撃者のアカウント権限がメンテナー自身の権限を上回っていることが発見され、即座なアクセス取り消しが不可能になったため、状況はさらに悪化しました。
両方の不正なバージョンには偽の依存関係である[email protected]が注入されており、攻撃前には存在しなかったパッケージです。
攻撃者はAxios侵害の約18時間前にこの悪意あるパッケージを事前に準備し、キャレット範囲を使用したため、新しいnpm installはそれを自動的に引き出します。
このパッケージはAxiosソースコード内で実際には使用されません。唯一の目的は、RATをドロップするpostinstallライフサイクルフックをトリガーすることです。
マルウェアは各オペレーティングシステムに対応したカスタマイズされたRATを配信します:
すべてのバリアントは、通常のnpmレジストリトラフィックを模倣するようにフォーマットされたHTTP POSTリクエストを使用してC2サーバーと通信します。
開発者は直ちに以下の対応を取ることが強く勧告されています:
これは6ヶ月間で3番目の大規模なnpmサプライチェーン攻撃であり、オープンソースエコシステムに対する主要な攻撃ベクトルとしてのパブリッシャーアカウント侵害のリスクが増加していることを浮き彫りにしています。
翻訳元: https://cyberpress.org/axios-npm-packages-compromised/