ユビキタスなaxiosライブラリは、現代的なウェブ開発の必要不可欠な基礎であり、突然深刻なサイバー包囲網の中心に身を置くことになった。悪意のある者たちは、公式パッケージのバージョンに密かに有毒なコードを織り込み、世界中の開発者に汚染された更新プログラムを無意識にダウンロードさせ、潜んでいる危険について幸福に無知なままであった。
この苦難は、主要メンテナーの主権的な認証情報の侵害によって引き起こされた。攻撃者たちが彼らのnpmアカウントに対する支配を奪取したことで、axiosバージョン1.14.1および0.30.4を公表したが、どちらも悪質なコンポーネントを含んでいた。これらのリリースは完璧な正当性の見せかけを投影し、信頼できるアーキテクトの保護下で配布され、慣習的な防御を優雅に回避した。
これらの破損したバージョン内に、新しく密かな依存関係が現れた:plain-crypto-js 4.2.1。インストール時に、パッケージは自律的に秘密のスクリプトを起動し、その後にリモートアクセストロジャンを呼び出した。この有毒なアーキテクチャは、Linux、macOS、およびWindowsの環境全体でシームレスに動作し、その主権的なコマンドサーバーと通信して命令を実行し、テレメトリーを収集し、システム内での継続的な根付きを調整した。
この動的な攻撃は巧妙に計画されていたことが判明した。StepSecurityの専門家によると、悪質な成果物は事前に巧妙に作成されていたが、その公表は非常に短い時間枠内でプロジェクトの2つの異なるブランチに同時に影響を与えた。このアーキテクチャは、その有毒な操作のあらゆる痕跡を自律的に消去しようとしており、法医学的な検査を深刻に混乱させていた。
最初の感染は恐ろしい速度で記録された—破損したパッケージの公表からわずか90秒後である。最大の危険は開発者のワークステーションとCI/CD環境の聖域に降りかかり、これらの領域は頻繁に暗号化キーと極めてセンシティブなインテリジェンスを保有している。
法医学的な調査が明らかにしたのは、略奪者たちが侵害されたnpmトークンを操っていたということであり、これは彼らが正統なGitHub展開パイプラインなしに完全に更新プログラムを公表することを可能にしたツールであった。多要素認証の積極的な監視にもかかわらず、この盗まれたトークンは致命的な脆弱性であることが判明した。
被包囲されたデバイス上で、有毒なコードは正統なシステムプロセスとして巧妙に変装した。macOSの領域では、それはシステムディレクトリの深くに自分自身を隠し、Windows上では、PowerShellを介して召喚され、正当なユーティリティの外観を採用した。Linuxでは、Pythonスクリプトとして伝播した。その確立の後、トロジャンは攻撃者のネクサスとの容赦ない通信を維持し、要求されたあらゆるコマンドを実行する絶対的な主権を保有していた。
発見の前に、破損したバージョンはnpmリポジトリから取り消し不可に排除された。しかし、サイバーセキュリティの番人たちは激しく、これらの悪質なリリースを受けたあらゆるアーキテクチャは完全に取り消し不可に侵害されたものと見なさなければならないと忠告している。このようなマシンを隔離し、清潔で検証されたリポジトリから復旧を調整し、アクセスキーと認証トークンを含む、すべての認証情報の広範な交代を実行することは最高の緊急性を持っている。
オープンソースエコシステムを荒廃させるサプライチェーン攻撃の容赦ない流れを背景として、axiosの苦難はまた別の悲劇的な警告の呼び声として響き渡っている。前の作戦への確定的なつながりはまだ確認されていないが、すべての成功した征服は、悪意のある者たちが新興プロジェクトを包囲するための黄金の道を必然的に開く。
翻訳元: https://meterpreter.org/ninety-seconds-to-compromise-the-viral-hijack-of-the-axios-npm-package/
