北朝鮮に関連するハッカーは、フロントエンドアプリケーションとバックエンドシステムの両方で広く使用されている非常に人気のあるライブラリの最近の侵害を担当していると、新しい研究者による報告があります。
月曜日の夜、ハッカーがHTTPクライアントaxiosを標的としたサプライチェーン攻撃を開始したというニュースが出ました。axiosは毎週1億回ダウンロードされ、フロントエンドフレームワーク、バックエンドサービス、エンタープライズアプリケーション全体に組み込まれています。
Google Threat Intelligence Group(GTIG)は、他の複数の研究者とともに、この攻撃を北朝鮮の脅威アクターであるUNC1069と呼ばれるグループに帰因することで一致しました。SentinelOneは発見しました2023年にさかのぼる攻撃でmacOSベースのマルウェアを使用していた同じグループを。
先月、経済的動機を持つこのグループは非難されました偽のZoomミーティングを含む複数の詐欺に加えて、複数のユニークなマルウェアが展開された暗号資産企業を標的にしたと。
他の複数の研究者は支持しましたaxiosの攻撃中に使用されたバックドアが、北朝鮮の関係者が偽のZoomキャンペーン中に使用したマルウェアのWAVESHAPERに似ていることからGoogleの評価を。
Google Threat Intelligence Groupの主任アナリストであるJohn Hultquistは、axiosのインシデントは別の最近のサプライチェーン攻撃とは無関係であり、その広範な性質のためセキュリティ専門家の間で警告を引き起こしたと述べました。
Hultquistは、北朝鮮のハッカーが「サプライチェーン攻撃に深い経験を持ち、歴史的に暗号資産を盗むために使用してきた」ことに注目しました。2023年のエンタープライズ電話企業3CXへのサプライチェーン攻撃は北朝鮮のハッカーに帰因するものとされていました。
「このインシデントの全容はまだ不明確ですが、侵害されたパッケージの人気を考えると、広範な影響があると予想します」とHultquistは述べました。
火曜日の朝早く、axiosパッケージの2つの悪意のあるバージョンがNode Package Manager(npm)に公開されたとき、専門家は警告を発しました。
セキュリティ企業のSocketとStepSecurityはパッケージが悪意のあるものであることを確認し、axiosの主要メンテナーのnpmアカウントのハイジャックにインシデントを遡りました。
Socketは、悪意のあるパッケージは「任意のコマンドを実行でき、システムデータを流出させ、感染したマシンに残存することができるリモートアクセストロイの木馬(RAT)」を含むマルチステージペイロードをデプロイしていると述べました。
「攻撃が最初に発生したとき、axiosのメンテナーはプロジェクトの制御を取り戻すことができませんでした。公開されたGitHub問題で、協力者は悪意のあるパブリッシュを担当するアカウントからのアクセスを取り消すことができず、攻撃者のアクセス許可が自分たちのものを超えていることに注目しました」とSocketは説明しました。
Axiosは最も人気のあるJavaScript HTTPクライアントライブラリの1つであり、開発者がアプリケーションをインターネットに接続するために使用します。StepSecurityは、これが「トップ10のnpmパッケージに対して記録された中で最も作動的に洗練されたサプライチェーン攻撃の1つ」であると述べました。
悪意のあるバージョンは、Windows、macOS、Linuxに影響を与えるマルウェアをインストールする新しい依存関係を注入します。実行後、マルウェアは自分自身を削除し、検出を回避するためにツールのクリーンなバージョンに置き換えます」とStepSecurityは追加しました。
「axios自体の中には悪意のあるコードがゼロ行あり、それがこの攻撃を非常に危険にしている理由です」と研究者は述べました。
このインシデントは、ソフトウェアサプライチェーンに関わる一連の侵害の最新のものであり、外部ソースから取得されたコードを通じてますます結合されています。
先週の広く使用されているオープンソースのPythonパッケージLiteLLMへの攻撃により、サイバー犯罪者は複数の組織に侵入することができました。XZ Utilsと自己複製ワームShai-Huludを含む以前のインシデントは、腐敗したnpmパッケージをますます発見している膨大な研究の中で目立っていました。
Mandiant CTOのCharles Carmakalは、最近のソフトウェアサプライチェーン攻撃の数は圧倒的だと述べました。
「過去2週間に盗まれた秘密は、今後数日、数週間、数か月の間に、より多くのソフトウェアサプライチェーン攻撃、ソフトウェアアズアサービス環境の侵害(下流の顧客侵害につながる)、ランサムウェアと恐喝イベント、および暗号資産の盗難を可能にするでしょう」と彼は述べました。
「私たちは数十万の盗まれた認証情報を認識しています。様々な動機を持つ様々なアクターがこれらの攻撃の背後にいます。昨日のaxios npmサプライチェーン攻撃の爆発半径は広く、それに依存する他の人気のあるパッケージに及びます。」
KaseyaのセキュリティリーダーであるMike Pugliaは、これらのインシデントは世界のソフトウェアエコシステムの脆弱性のさらなる証拠であると述べました。
「この場合、攻撃者はaxiosのメンテナーである1つのアカウントのみを侵害し、悪意のあるコードは発見前にほぼ3時間’ライブ’でした。典型的な日では、数万の組織がマルウェアを受け取った可能性があります」とPugliaは述べました。
さらに事態を複雑にしているのは、攻撃者のリモートアクセスがデプロイされた後、マルウェアが自分自身を正当なaxiosファイルに置き換えたことであり、あなたが侵害されたかどうかを知ることが難しくなっています」と彼は追加しました。
他の複数の専門家は、axiosとLiteLLMへの最近の攻撃が他のハッカーが複製するためのテンプレートになるだろうと警告しました。
翻訳元: https://therecord.media/google-links-axios-supply-chain-attack-north-korea
