- GoogleのThreat Intelligence Groupが、npmのAxiosライブラリに対するアクティブなサプライチェーン攻撃について警告
- 悪質な依存関係「plain-crypto-js」がWindows、macOS、Linuxに渡ってWAVESHAPER.V2バックドアを展開
- 帰属先は北朝鮮のUNC1069グループで、暗号資産およびソフトウェア開発者を標的とした長期にわたるキャンペーンで知られている
北朝鮮の国家支援を受けた脅威アクターが、非常に人気のあるnpmパッケージを標的にして、そのユーザーをマルウェアに感染させようとしています。
GoogleのThreat Intelligence Group (GTIG)のセキュリティアドバイザリによると、「HTTP要求を簡略化するために使用される最も一般的なJavaScriptライブラリ」であるAxiosを標的とした「アクティブなソフトウェアサプライチェーン攻撃」を監視していると述べました。これは、fetchやXMLHttpRequestなどの組み込みツールを使用する場合と比較して、APIの呼び出し、レスポンスの処理、エラー管理などのタスクを簡略化します。
ハッカーはパッケージの2つのバージョン(1.14.1および0.30.4)を標的にしており、Googleによると通常、それぞれ1億回以上および8300万回以上の週間ダウンロード数があります。彼らは「plain-crypto-js」という悪質な依存関係を導入しようとしました。これは、Windows、macOS、Linuxオペレーティングシステム全体でWAVESHAPER.V2バックドアを展開する難読化されたドロッパーです。
記事は下に続きます
北朝鮮との関連付け
GoogleはWAVESHAPER.V2を「完全に機能するRAT」として説明し、偵察(テレメトリーの抽出)、コマンド実行(メモリ内のポータブル実行可能ファイルの注入と任意のシェルコマンド)、システム列挙(詳細なメタデータを返す)が可能です。
これはC++で書かれていますが、異なる環境を標的にするために、PowerShellとPythonで書かれた他の変種が発見されました。
まさにこのバックドアが、Googleがこれが北朝鮮が支援するキャンペーンであると結論付けた理由です。GTIGは、WAVESHAPER.V2が以前に北朝鮮と関連のある脅威アクターであるUNC1069によって使用されたバックドアであるWAVESHAPERの更新版であると述べました。
「さらに、この攻撃で使用されたインフラストラクチャー工作物の分析は、UNC1069が過去の活動で使用したインフラストラクチャーとのオーバーラップを示していると、Googleは述べました。」
UNC1069は少なくとも2018年以降活動しているようであり、最も長く続いている脅威アクターグループの1つです。今年初め、マンディアントは、侵害されたTelegramアカウント、偽のZoom通話、ディープフェイクビデオ、およそ6種類のマルウェアストレインの組み合わせを使用して、暗号資産セクターの組織を標的にして暗号資産スタックを盗むことを観察しました。
そしてもちろん、あなたもTikTokでTechRadarをフォローできます。ニュース、レビュー、ビデオ形式でのアンボックス、WhatsAppで定期的な更新を取得してください。
