TokyoBlackHatNews

esecurityplanet.com 5分で読了

Axios npm 攻撃がクロスプラットフォーム RAT を展開

人気のある Axios npm パッケージの短期的な侵害は、信頼できる依存関係がいかに迅速に広範な脅威になるかを示しています。 

攻撃者はメンテナンスアカウントをハイジャックし、日常的なパッケージのインストール中に静かにリモートアクセストロイの木馬(RAT)をインストールする悪意のあるバージョンを公開し、開発者環境と CI/CD パイプラインを危機にさらしました。

「手動での依存関係のインストールや不安全なアップグレードボットのような従来のリスクは依然として重大ですが、より差し迫った今後の脅威はハイパースケール化にあります。つまり、完全な自律性とツール実行を備えたコーディングエージェントです」と、Snyk の開発者関係コミュニティ責任者である Liran Tal は eSecurityPlanet へのメールの中で述べました。

広告主のウェブサイトを訪問ページへ移動

Axios サプライチェーン攻撃の内部

Snyk の研究者は、攻撃が Axios に影響を与えたことを発見しました。Axios は週間 1 億回以上のダウンロード数を記録しており、短期的な露出でさえ、開発パイプラインおよび本番環境全体での重大な被害の広がりを意味していました。 

自動ビルドまたはピン留めされていない依存関係に依存している組織は特に脆弱でした。悪意のあるバージョンは可視化なしで取得される可能性があり、信頼できるオープンソースパッケージがコア機能を変更することなく兵器化できることが改めて示されました。

攻撃がどのように機能したか

根本的な原因は侵害されたメンテナンスアカウントでした。これは、コードではなくアイデンティティを標的とするサプライチェーン攻撃の増加クラスを強調しています。 

npm の信頼モデルを悪用することで、攻撃者は従来のセーフガードをバイパスして、公式パッケージに直接悪意のあるバージョンを公開することができました。 

Axios 自体を修正する代わりに、攻撃者は悪意のある依存関係(plain-crypto-js)をパッケージに挿入し、最小限のユーザーインタラクションで postinstall スクリプトを通じてインストール中にペイロードが実行されるようにしました。

トリガーされると、攻撃は検出を回避するために階層化されたオブフスケーション技術を使用してマルチステージペイロードを展開しました。 

マルウェアは動的に macOS、Windows、および Linux システム用のプラットフォーム固有の RAT を取得し、広範なクロスプラットフォーム影響を可能にしました。 

実行後、インストールの痕跡を削除し、フォレンジック分析を複雑にして、侵害された環境での検出の可能性を低減しました。

攻撃はその短い公開ウィンドウ中に積極的に悪用可能でした。影響を受けたバージョンをインストールしたシステムは、完全に侵害されたものとして扱う必要があります。 

RAT はコマンドを実行し、データを流出させ、永続性を確立する能力があることを考えると、このインシデントは、サプライチェーン管理が弱いか欠けている場合に、信頼できる依存関係がいかに迅速に高影響のアタックベクトルになるかを強調しています。

サプライチェーンリスクを軽減する方法

サプライチェーン攻撃はより標的化され、検出が難しくなっています。特に信頼できる依存関係から発生する場合はそうです。 

従来のセキュリティ管理は、ビルドプロセスまたはパッケージのインストール中に導入される悪意のある動作を見落とすことがよくあります。 

リスクを低減するために、組織は依存関係管理、ビルド環境、ランタイム監視全体でより強い管理が必要です。

  • ロックファイルを監査し、依存関係ピン留めを実施して、権限なしまたは悪意のあるパッケージの更新を防止します。
  • 露出している可能性のあるシステムの認証情報とシークレットをローテーションして、侵害後のリスクを低減します。
  • postinstall スクリプトを制限し、依存関係の許可リストを実装して、DevSecOps ツールを使用して信頼できないコードの実行を制限します。
  • 署名、出処、または証明を使用してパッケージ整合性を検証して、信頼できるソースを確保します。
  • ビルド環境を分離し、アウトバウンドネットワークアクセスを制限して、悪意のあるコールバックをブロックします。
  • 異常な動作を監視して、EDRまたはランタイム管理を使用して、疑わしいプロセスとコネクションを検出します。
  • サプライチェーン攻撃シナリオのインシデント対応計画をテストし、攻撃シミュレーションツールを使用します。

これらの措置を総合すると、サプライチェーン攻撃の被害の広がりを制限しながら、開発および展開環境全体での回復力を構築するのに役立ちます。 

サプライチェーン脅威のシフト

このインシデントは、サプライチェーン攻撃のシフトを反映しています。攻撃者はコードレベルの欠陥の代わりに、メンテナーと配布チャネルをますます標的にしています。 

オープンソースエコシステムが成長するにつれ、これらのアプローチはより効率的で、ノイズが少ないコンプロマイズをより広範なダウンストリーム影響で可能にします。

これらのトレンドは、開発および展開ワークフロー全体で、より構造化されたアプローチの必要性を強調していますソフトウェアサプライチェーンセキュリティ

翻訳元: https://www.esecurityplanet.com/threats/axios-npm-attack-deploys-cross-platform-rat/

ソース: esecurityplanet.com
#Axios #CI/CDセキュリティ #npm #RAT(リモートアクセストロイの木馬) #オープンソース #クロスプラットフォーム #サプライチェーン攻撃 #セキュリティ脆弱性 #マルウェア #依存関係管理

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布