北朝鮮に関連する脅威アクターが、人気のあるAxios NPMパッケージを乗っ取り、Windows、macOS、Linuxシステムに静かにバックドアを仕込むことができる影響度の高いソフトウェアサプライチェーン攻撃を実行しました。
2026年3月31日00:21~03:20 UTC間に、攻撃者は危険にさらされたメンテナアカウントを使用して、バックドアを仕込んだAxiosリリース1.14.1および0.30.4をNPMにプッシュしました。
攻撃者はメンテナーのメールアドレスを攻撃者が管理するProtonMailアドレスに変更し、plain-crypto-jsバージョン4.2.1という名前の新しい依存関係を静かに追加しました。
Axiosは最も広く使用されているJavaScript HTTPクライアントの1つであり、影響を受けたバージョンは週に数千万回のダウンロードを記録しており、この侵害の被害範囲を拡大します。
Google Threat Intelligence Group(GTIG)は、このキャンペーンを少なくとも2018年以降活動している経済的動機を持つ脅威クラスターであるUNC1069による活動として追跡しています。
悪意のあるplain-crypto-jsパッケージはAxiosのソースコード内のどこでも使用されていません。その唯一の目的は、npm installが実行されるとすぐにpostinstallスクリプト(setup.js)を実行することです。
マルウェアは、CI/CDパイプライン内や本番ビルドジョブを含む、すべての開発者コードの前に実行されます。
悪意のある依存関係とドロッパー
コアドロッパーであるSILKBELL(setup.js)は、カスタムXORとBase64難読化を使用して、コマンド・アンド・コントロール(C2)URLとOS固有のコマンドを隠します。
実行時に、fs、os、およびexecSyncモジュールを動的にロードして、簡潔な静的分析を回避します。
スクリプトはホストオペレーティングシステムをフィンガープリントし、一致するセカンダリペイロードをダウンロードし、その後、自身を削除し、バックアップファイル(package.md)から元のpackage.jsonを復元して、postinstallフックの法医学的痕跡を消去しようと試みます。
Windowsでは、マルウェアはpowershell.exeを検索し、%PROGRAMDATA%\wt.exeにコピーし、その後、細工されたPOSTボディ(packages.npm.org/product1)でcurlを使用して、PowerShellペイロードを%TEMP%にダウンロードします。
その後、隠しウィンドウとexecution policyバイパスフラグを使用して、コピーされた実行可能ファイルを介してスクリプトを起動し、隠密コード実行を実現します。
macOSでは、ドロッパーはcurlとbashを使用してMach-OバイナリをPOSTデータpackages.npm.org/product0を使用して/Library/Caches/com.apple.act.mondに取得し、その後chmodを実行してzshの背後で起動します。
Linuxでは、POSTデータpackages.npm.org/product2を使用してPythonバックドアを/tmp/ld.pyにダウンロードしてから、実行を続行します。
3つのOS固有のブランチはすべて最終的にWAVESHAPER.V2をデプロイします。これは主にC++で記述され、PowerShellおよびPythonのバリアントで補足されるクロスプラットフォームリモートアクセストロイの木馬(RAT)です。
インプラントは60秒ごとにポート8000経由で攻撃者のC2サーバにビーコンを送信し、システムと環境メタデータを含むBase64エンコードされたJSONを送信し、古いInternet Explorerクライアントを模倣するハードコードされたUser-Agentストリングを使用します。
サポートされているコマンドは以下の通りです:
- kill – マルウェアプロセスを終了します。
- rundir – ディレクトリを再帰的に列挙し、詳細なファイルメタデータを返します。
- runscript – デコードしてAppleScriptペイロードを実行します。
- peinject – 任意のバイナリをドロップし、オプションのパラメータで実行します。
Windowsでは、%PROGRAMDATA%\system.batに隠しバッチファイルを作成し、HKCU\Software\Microsoft\Windows\CurrentVersion\Runの下にMicrosoftUpdateエントリを追加することにより、永続性が実現されます。
プラットフォーム全体にわたって、RATは広範な偵察、任意のコマンド実行(メモリ内PE注入を含む)、および詳細なファイルシステム列挙をサポートしており、データ盗難および後続の侵入操作に適しています。
UNC1069への帰属と広範なリスク
GTIGは、WAVESHAPER.V2の使用、インフラストラクチャの重複、およびsfrclak[.]comなどのドメインに関連するC2パターン(142.11.206.73に解決)に基づいて、攻撃をUNC1069に帰属させています。
WAVESHAPER.V2は、このアクターにリンクされていた以前のWAVESHAPERバックドアの直接的な進化ですが、現在ではJSONベースのC2トラフィック、拡張されたテレメトリ収集、より豊富なコマンドサポートを使用しながら、同じポーリング動作と異常なUser-Agentを保持しています。
この事件は、オープンソースサプライチェーン攻撃の波の中で発生しており、最近のUNC6780によるPyPIの悪用やGitHub Actionsを悪用してSANDCLOCK認証情報スティーラーを配信する活動を含みます。
ディフェンダーは、3月31日の暴露期間中の[email protected]および[email protected]のインストールについて環境を即座に監査し、既知の良いバージョンに置き換える必要があります。
Axiosが多くの他のパッケージに依存関係として組み込まれているため、侵害されたビルドはダウンストリームSaaS侵害、ランサムウェアまたは恐喝事件、および秘密とトークンが流出するにつれて暗号資産盗難のリスクがあります。
ログをsfrclak[.]com:8000への送信接続と特徴的なUser-Agentについて確認して、潜在的なビーコン送信ホストを特定する必要があります。
セキュリティチームは、影響を受けたCI/CDパイプラインで使用される秘密とトークンをローテーションし、フィッシング耐性のあるMFAでメンテナーアカウント保護を強化し、予期しない依存関係とpostinstallなどのnpmライフサイクルスクリプトを監視するサプライチェーン防御を実装する必要があります。
侵害のインジケータ(IOC)
| インジケータ | タイプ | 備考 |
142.11.206.73 |
C2 | WAVESHAPER.V2. |
sfrclak[.]com |
C2 | WAVESHAPER.V2. |
http://sfrclak[.]com:8000 |
C2 | WAVESHAPER.V2. |
http://sfrclak[.]com:8000/6202033 |
C2 | WAVESHAPER.V2. |
23.254.167.216 |
C2 | 推定UNC1069インフラストラクチャ。 |
翻訳元: https://gbhackers.com/north-korean-hackers-breach/
