ハッカーが今週、推定1億回の週間ダウンロード数を持つ人気のあるオープンソースプロジェクトを通じてマルウェアを配信し、サプライチェーン攻撃を通じて侵害が広く蔓延する可能性をもたらしました。
Axiosはウェブリクエストで使用されるJavaScriptクライアントライブラリです。未知の攻撃者がJavaScriptのパッケージマネージャーであるnpmのaxiosの主要メンテナーのnpmアカウントをハイジャックし、その後、リモートアクセストロイの木馬を含むaxiosの悪意あるバージョンをnpmに公開しました。これは日曜日の夜から月曜日の朝にかけて発生し、サイバーセキュリティ企業Huntressは毒性のあるバージョンが削除される前に述べました。
別のセキュリティ企業であるAikidoは、これを「記録に残る最も影響力のあるnpmサプライチェーン攻撃の1つ」と呼びました。多くのサイバー企業の研究者が、Step Security、Socket、 Endor Labsなど、この攻撃について警告を発しています。
Step Securityによると、悪意のある「[email protected]」および「[email protected]」バージョンは、マルウェアのローダーとして機能する新しいソフトウェア依存関係「[email protected]」を注入します。MacOS、Windows、Linuxデバイスを対象としています。
しかし、研究者はそれをマルウェアと説明していますが、「axiosの内部には悪意のあるコードが全くない」と指摘しています。むしろ、ソフトウェアは設計通り(もしくは再設計通り)に単に機能しているだけです。
「両方の悪意のあるリリースは、偽の依存関係を注入します。これはaxiosソースのどこにもインポートされず、その唯一の目的はクロスプラットフォームのリモートアクセストロイの木馬を展開する[インストール後]スクリプトを実行することです」と、Step Securityの最高技術責任者兼創設者であるAshish Kurmiは書きました。
SocketのCEOおよび創設者であるFeross Aboukhadijehは、この状況を「ライブ侵害」と呼び、広い潜在的な影響範囲があるとしました。
「これはテキスト的なサプライチェーン インストーラー マルウェアです」と、Aboukhadijeh月曜日の夜にX に書きました。悪意のあるバージョンについて、「最新バージョンをプルしているすべてのnpmインストールは現在、潜在的に侵害されています」と付け加えています。
axiosの悪意のあるバージョンによってプルインされるソフトウェアパッケージは、静的なサイバーセキュリティ分析方法を回避し、人間のレビュアーを混乱させる埋め込みペイロードを持ち、フォレンジック証拠を破壊するためにアーティファクトを削除および名前変更します。
Aboukhadijehは、少なくとも過去1週間以内にaxiosをダウンロードまたは使用した誰もが対象の率直なアドバイスを与えました。
「axiosを使用している場合は、すぐにバージョンをピンし、ロックファイルを監査してください」と彼は書きました。「アップグレードしないでください。」
Kurmiは攻撃を「精密」と説明し、悪意のある依存関係が24時間未満前にステージングされ、両方の悪意のあるバージョンが同じ時間内に毒性化されたことに注目しました。
悪意のあるaxiosバージョンがオンラインになっていた期間を考えると、これは約600,000ダウンロードに相当する可能性があると、SANS Institute客員教授およびCounter Hack Innovationsのシニア技術ディレクターであるJoshua Wrightは述べました。
「それは大量の侵害であり、ソフトウェアをインストールするとすぐに、それはアクセス認証情報をスクレイプします。したがって、脅威アクターはAWSにピボットでき、スクレイプされたGitHubキーを通じて他のGitHubパッケージにピボットでき、そしてそれは本当に説明するのが難しい部分です」と彼はCyberScoopに語り、影響が数週間続く可能性があることを警告しました。「今日、そのインパクトが何かを理解しようとしながら、自分たちが侵害されたことに気付く人々についてのより多くのストーリーを見ることになるでしょう。」
この攻撃は、開発者向けのターゲティングの他のケースの直後に発生しました。
翻訳元: https://cyberscoop.com/axios-software-developer-tool-attack-compromise/
