セキュリティ研究者によると、北朝鮮の脅威行為者が、週に1億回以上ダウンロードされるJavaScriptライブラリであるaxiosに対する大規模なサプライチェーン攻撃の背後にいる疑いが持たれています。
今週初め、攻撃者がaxiosのメンテナーのnode packageマネージャーアカウントを侵害し、悪意のある依存関係plain-crypto-jsを導入しました。悪意のあるバージョンは数時間以内に削除されましたが、axiosの広範な使用により、大多数のユーザーが毒入りバージョンをダウンロードしたリスクがありました。
Google脅威インテリジェンスグループの研究者は、悪意のある依存関係がWindows、Linux、Macの各環境にWaveshaper.v2と呼ばれるバックドアを展開する難読化ドロッパーであると述べました。
GTIG研究者は、2018年以来活動している敵対者であるUNC1069という名前で攻撃者を追跡しています。新しいバックドアはWaveshaperの更新版であり、GTIG研究者によると、以前から同じ攻撃者にリンクされています。
Sophosの研究者は、この攻撃をNickel Gladstonesという名前で追跡している北朝鮮を拠点とする攻撃者にリンクしています。
「北朝鮮のハッカーはサプライチェーン攻撃の深い経験があり、歴史的に暗号通貨を盗むために使用してきました。このインシデントの全体像はまだ不明ですが、このコンプロミズされたパッケージの人気を考えると、広範な影響があると予想します」とGTIGのチーフアナリストであるJohn Hultquistは述べた。
GTIGの主要脅威アナリストであるAustin Larsenは、[email protected]または[email protected]を取得した人は誰でも、悪意のある依存関係を使用してバックドアペイロードを無意識のうちに実行している可能性があると警告しており、LinkedInの投稿によると。
当初このインシデントを検出したStep Securityの研究者は、この攻撃は意図的で計画的なコンプロミズであり、悪意のある依存関係は18時間前にステージングされ、脅威活動は月曜日に始まったと述べました。
「これらのペイロードは3つのオペレーティングシステム用に事前に構築されました」とStep Security研究者は火曜日にリリースされたブログ投稿で述べました。「両方のリリースブランチは39分以内に互いに毒を入れられました。」
Step Securityによると、攻撃者は最初に主なメンテナーであるjasonsaayman npmアカウントを侵害しました。登録済みメールアドレスは、その後脅威行為者が管理するprotonアドレスに変更されました。
Step Securityは、アーティファクトが自己破壊するように設定されていることに気づきました。研究者はこれを主要なnpmパッケージに対して「文書化された中で最も運用的に高度なサプライチェーン攻撃の1つ」と呼びました。
Huntressの上級プリンシパルセキュリティ研究者であるJohn Hammondは、完全に調査する必要がある組織への下流の影響がある可能性があると警告しています。
「残念ながら、全体的な影響は動的であり、依然として明らかになっています。あらゆる種類の組織が、あらゆる種類のNode.jsまたはJavaScriptベースのソフトウェアを使用していて、あらゆる種類のパッケージを持つことができるため、その基盤となるaxiosソフトウェアコンポーネントに依存する可能性があります」とHammondはCybersecurity Diveに語った。
axiosのコンプロミズは、最近数週間のサプライチェーン攻撃のシリーズの最新のものです。Aqua SecurityのオープンソースツールであるTrivyは、TeamPCBと呼ばれる脅威行為者にリンクされた攻撃の対象でした。研究者によると。
Mandiant ConsultingのCTOであるCharles Carmakalは、最近のサプライチェーン攻撃のシリーズにより、利用可能な盗まれた認証情報が数千あると述べており、LinkedInの投稿によると。彼は、その結果としてさらなるSaaSのコンプロミズ、ランサムウェア、暗号通貨の盗難、およびその他の悪意のある活動があるかもしれないと警告しています。
