TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ハッカーがAxios npmパッケージを乗っ取ってRATを拡散

脅威アクターはオープンソースメンテナーをターゲットにして、最も人気のあるnpmパッケージの1つを乗っ取り、リモートアクセストロイの木馬(RAT)を拡散しました。

Axiosは週に1億回以上ダウンロードされるJavaScriptライブラリで、数えきれないほどの開発環境とCI/CDパイプラインで依存関係として使用されています。

OpenSourceMalwareの研究者によると、脅威アクターはメンテナーのJason Saaymanのアカウントを侵害し、悪意のあるnpmパッケージplain-crypto-jsをaxiosの依存関係として追加しました。

攻撃の高度さを示唆するように、脅威アクターは明らかにアカウント乗っ取りの前日に悪意のある依存関係をステージングしました。彼らはまた、永続性のためにアカウントのSaaymanのメールアドレスを変更し、念のためにGitHubアカウントも乗っ取りました。

「GitHubでは、攻撃者は管理者権限を使用して侵害を報告するイシューをアンピンして削除しました。その間、協力者DigitalBrainJSは積極的に対応しようとしていました」とOpenSourceMalwareレポートは続けました。

「DigitalBrainJSは管理者権限がないため、jasonsaaymanの権限を取り消すことができず、npm管理者にエスカレートする必要があり、攻撃開始から約3時間後に悪意のあるバージョンを削除し、すべてのトークンを取り消しました。」

npmの攻撃についてもっと読む:新しいNpm「ゴーストキャンペーン」は偽のインストールログを使用してマルウェアを隠します。

Saaymanのアカウントにアクセスすることで、脅威アクターはplain-crypto-jsを備えた悪意のあるパッケージバージョンv1.14.1とv0.30.4を公開し、クロスプラットフォームRATを展開しました。

正規のaxiosリリースはOIDCプロビナンス署名を使用したGitHub Actionsを介して公開されていますが、これらは盗まれた認証情報を使用してnpm CLIを介して直接公開されたようです。

GoogleはAxios関連の攻撃からの広範な影響にフラグを立てます

Googleは、axiosに依存する人気のあるパッケージの数を考えると、この攻撃の影響範囲は広範になる可能性があると警告しています。

Google Threat Intelligence Group(GTIG)の主任脅威アナリストであるAustin Larsenは、セキュリティチームに促しました

  • ロックファイルを確認し、package-lock.json、yarn.lock、またはpnpm-lock.yamlを確認して、plain-crypto-js、axios v1.14.1、またはaxios v0.30.4が存在するかどうかを確認します
  • 開発者マシンとCI/CDインフラストラクチャ全体でIOCを検索します
  • 認証情報をローテーションし、公開されたシステムを修復します

GTIGはこの活動をUNC1069に起因しています。UNC1069は、少なくとも2018年以降活動している金銭的に動機付けられた北朝鮮関連の脅威アクターです。彼らはこの脅威アクターによって以前使用されたWAVESHAPERの更新版であるWAVESHAPER.V2の使用に基づいて、この帰属を行いました。

3月31日のブログ投稿で、GTIGはこのケースのハッカーが北朝鮮の国家アクターである可能性があると示唆していると述べました。

OpenSourceMalwareは主張しました。「多段階アーキテクチャ、プラットフォーム固有のペイロード、および包括的なRAT機能は、攻撃者がサプライチェーン攻撃に多大なリソースを投資していることを示しています。」

「難読化、アンチアナリシス技術、および自己削除の使用は、最新の検出機能への認識と、それらを回避しようとする試みを示しています。axiosをターゲットにする選択(週に何百万ものダウンロード数を持つパッケージ)は、npmエコシステムの理解と広範な影響の可能性を示しています。」

Upwindのセキュリティ研究者であるAvital Harelは、「ビルドパイプラインはオープンソース脅威との戦いの新しい最前線になっている」と述べました。

「攻撃者は、ソフトウェアをビルドおよび配布するシステムを侵害できれば、大規模に信頼を継承できることを知っています」と彼女は追加しました。

「これらの攻撃が非常に危険な理由は、それらの多くの背後にあるプロセスをターゲットにしているからです。組織はCI/CDシステム、パッケージ依存関係、および開発者環境をはるかに詳しく見る必要があります。なぜなら、攻撃者がますますそこに賭けをしているからです。」

翻訳元: https://www.infosecurity-magazine.com/news/hackers-hijack-axios-npm-package/

ソース: infosecurity-magazine.com
#Axios #CI/CDセキュリティ #NPM供給チェーン攻撃 #UNC1069 #アカウント侵害 #オープンソース脅威 #マルウェア配布 #リモートアクセストロイ #依存関係攻撃 #北朝鮮ハッカー

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新