2026年3月31日、セキュリティ研究者は、週間ダウンロード数が700万を超える人気のJavaScript用HTTPクライアントであるAxiosを標的とした重大なサプライチェーン攻撃を特定しました。
パッケージの2つの更新版(1.14.1と0.30.4)は、リモートアクセストロージャンをインストールする悪意のある依存関係によって侵害されました。
Microsoft 脅威インテリジェンス はこのキャンペーンを、AIとソーシャルエンジニアリングを活用してサイバー作戦を拡大することで知られている北朝鮮の国家支援脅威アクターであるSapphire Sleetに帰属させています。
侵害は依存関係挿入として知られる技術を使用して実行され、サイレントなインストール時のコード実行を可能にします。
攻撃者は、コアアプリケーションロジックに手を付けないままで、偽のランタイム依存関係である[email protected]を新しいAxiosリリースに注入しました。
この悪意のある依存関係 は、開発者または継続的インテグレーションシステムがパッケージインストールコマンドを実行したときに自動的にトリガーされるポストインストールフックに依存しており、ユーザーの対話は不要です。
攻撃者サーバーはシステムアーキテクチャに基づいて異なるペイロードを配信します。macOSシステムでは、攻撃はcom.apple.act.mondという名前のネイティブバイナリをキャッシュディレクトリに投下し、バックグラウンドでサイレントに実行します。
Windows環境では、PowerShellトロージャンが配置されます。このWindowsバリアントはレジストリランキーを追加することで永続性を確立し、ユーザーのサインインのたびにマルウェアが再起動されることを保証します。
Microsoft脅威インテリジェンスは、悪意のある依存関係を公開したアカウントをSapphire Sleetに直接リンクしました。
少なくとも2020年3月以降活動しているこの北朝鮮グループは、主に金融部門、暗号通貨組織、ブロックチェーンプラットフォームを標的としています。
彼らの主な目的は、収益を生成するために暗号通貨ウォレットを盗むことです。グループはしばしば詐欺的なミーティングリンクと偽の求人担当者を活用しますが、この最新の攻撃はオープンソースサプライチェーン中毒への積極的なシフトを強調しています。
Axiosバージョン1.14.1または0.30.4をインストールした組織は、直ちに是正措置を講じる必要があります。Microsoftは強く推奨しています侵害されたシステムに公開されているすべてのシークレットと認証情報をローテーションすることを。
開発者は、影響を受けたファイルを完全に削除し、Axiosのデプロイメントを1.14.0または0.30.3などの安全なバージョンにダウングレードする必要があります。
無権限の更新を防ぐために、組織はpackage.jsonファイルからキャレット(^)またはチルダ(~)記号を削除することで自動依存関係アップグレードをオフにし、プロジェクトが明示的にピン留めされたバージョンのみに依存するように強制する必要があります。
セキュリティチームは、npm cache clean –forceコマンドを使用してローカルパッケージキャッシュをフラッシュし、ポート8000上の悪意のあるインフラストラクチャへのアウトバウンド接続についてネットワーク出力ログを確認することをお勧めします。
実行可能な環境では、開発者はデフォルトでポストインストールスクリプトをオフにして、同様のフックが実行されるのを防ぐことができます。
翻訳元: https://cyberpress.org/microsoft-warns-on-axios/