TokyoBlackHatNews

bleepingcomputer.com 4分で読了

ハッカーがAxios npmパッケージを侵害してクロスプラットフォームマルウェアを配布

Image

ハッカーはJavaScript HTTPクライアントで週1億回以上ダウンロードされるAxiosパッケージのnpmアカウントを乗っ取り、Linux、Windows、macOSシステムへのリモートアクセストロージャンを配布しました。

ソフトウェアサプライチェーンセキュリティおよびアプリケーションセキュリティ企業であるEndor LabsSocketAikido、およびStepSecurityからのレポートによると、脅威アクターはNode Package Manager(npm)レジストリにこのパッケージの2つの悪意あるバージョンを公開しました。

悪意あるバリアントである[email protected]は本日UTC 00:21に公開され、もう1つの[email protected]はわずか1時間後のUTC 01:00に出現しました。

これらのパッケージは自動化されたOpenID Connect(OIDC)パッケージオリジンなしで公開され、一致するGitHubコミットも出現しませんでした。これは直ちにアラートをトリガーすべき問題です。

研究者によると、脅威アクターはAxiosのメインメンテナーであるJason Saaymanのnpmアカウントを侵害した後、このパッケージへのアクセスを得ました。

ほぼ3時間の公開期間中にサプライチェーン攻撃の影響を受けたダウンストリームプロジェクトの数は不明です。

Axios npmパッケージは約月4億ダウンロードを有しているため、その数は相当である可能性があります。

AxiosはブラウザやNode.jsアプリなどのクライアントとサーバー間のリクエストを管理するJavaScriptアプリケーション用のHTTPクライアントです。その目的はGET、POST、PUT/PATCH、DELETEリクエストを介した通信を簡素化することです。

感染チェーン

パッケージへのアクセスを獲得した後、攻撃者はpackage.jsonファイルにplain-crypto-js@^4.2.1という悪意のある依存関係を注入し、Axiosコード自体は変更しませんでした。

この依存関係はパッケージのインストール中にポストインストールスクリプトを実行し、難読化されたドロッパー(setup.js)を起動します。これは検出されたオペレーティングシステムに基づいて次段階のペイロードを取得するためにコマンド&コントロール(C2)サーバーに接触します。

Image

Windowsでは、攻撃はVBScriptとPowerShellを混合して隠されたコマンドプロンプトウィンドウを実行し、悪意あるスクリプトを実行します。マルウェアはPowerShellを%PROGRAMDATA%\wt.exeにコピーして検出を回避し、リブート間での永続性を実現してから、PowerShellスクリプトをダウンロードして実行します。

macOSでは、マルウェアはAppleScriptを使用してバイナリを/Library/Caches/com.apple.act.mondにダウンロードし、実行可能としてマークしてバックグラウンドで実行します。

Linuxシステムでは、ドロッパーは/tmp/ld.pyに保存されたPythonベースのペイロードを取得し、nohup(ハングアップなし)コマンドでバックグラウンドで実行します。

すべての場合において、マルウェアはホストをリモートアクセストロージャン(RAT)に感染させ、攻撃者が感染システムでコマンドを実行して永続性を維持することを可能にします。

RATは隠された一時ファイルに書き込むbase64エンコードバイナリを取得して実行でき、/bin/shまたはAppleScriptを介してシェルコマンドを実行でき、感染ホスト上のディレクトリを列挙できます。

感染が完了した後、ドロッパーは自身を削除し、修正されたpackage.jsonを削除して、クリーンなコピーで置き換え、フォレンジック調査をより困難にします。

Image

StepSecurityの研究者によると、Axiosサプライチェーン攻撃は日和見的ではなく、「悪意のある依存関係が18時間前に準備された」ことから、慎重に計画された活動でした。

異なるペイロードが検出されたオペレーティングシステムに基づいて配布されたという事実は、この理論をサポートしているように見え、あらゆるアーティファクトの自己削除処理も同様です。

現在、Axiosサプライチェーン攻撃の背後にある脅威アクターについての情報はありません。

最近、TeamPCPとして知られるグループによって複数の高プロファイルサプライチェーン攻撃が主張されました。ハッカーはTelnyxLiteLLMTrivyなどの人気のあるオープンソースソフトウェアプロジェクトをターゲットにしました。

しかし、Axiosパッケージの侵害はTeamPCP攻撃の特性を持っていないため、セキュリティ研究者は特定の脅威アクターに結びつけることができませんでした。

Axiosのユーザーは[email protected]および[email protected]にロックすることが推奨されます。これらはこの人気パッケージの最後の既知のクリーンリリースです。

侵害が確認された場合は、すべての認証情報をローテーションし、既知のクリーン状態から環境を再構築してください。

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-compromise-axios-npm-package-to-drop-cross-platform-malware/

ソース: bleepingcomputer.com
#JavaScript #npm #RAT #アカウント乗っ取り #オープンソース #クロスプラットフォーム #サプライチェーン攻撃 #セキュリティ侵害 #マルウェア #依存関係インジェクション

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用