TokyoBlackHatNews

gbhackers.com 4分で読了

北朝鮮関連ハッカーがAxios npmに供給チェーン攻撃を実行

脅威アクターが広く使用されているAxios npmパッケージを侵害した後、大規模なソフトウェア供給チェーン攻撃が発見されました。これは世界中の開発者と組織に影響を与えています。

2026年3月31日に検出されたこのインシデントは、盗難されたメンテナー認証情報を使用して、人気のHTTPクライアントライブラリに悪質なコードを注入することを伴いました。

Axiosは最も広く使用されているnpmパッケージの1つで、週100,000回以上のダウンロード数があります。その侵害は、オープンソースエコシステムのセキュリティと供給チェーン攻撃によるリスクについて深刻な懸念を引き起こします。

この評価は、ZshBucketマルウェアの更新バージョンの展開と、以前に特定された敵対者インフラストラクチャとの重複に基づいています。

CrowdStrike Counter Adversary Operationsによると、このアクティビティは中程度の信頼度で北朝鮮関連の脅威グループSTARDUST CHOLLIMAに起因すると評価されています

ZshBucketマルウェアが展開される

攻撃者は、ZshBucketの新しいプラットフォーム固有のバリアントを展開しました。ZshBucketは、以前はSTARDUST CHOLLIMAでのみ使用されていたマルウェアファミリーです。

以前のバージョンは主にmacOSをターゲットにしていたものの、このキャンペーンはLinuxおよびWindowsシステムへの機能を拡張しています。

この攻撃で観察されたmacOSバリアントは、関数名を含む以前のコードの大部分を再利用していますが、注目すべき改善が導入されています。

すべてのバリアントは、コマンド&コントロール(C2)サーバーに送信する前にホストシステムとユーザー環境に関する情報を収集するコアプロファイリング機能を保持しています。

ただし、最新バージョンではより洗練されたコマンド構造が導入されています。基本的なダウンロード実行機能ではなく、マルウェアは現在すべてのプラットフォーム全体で統合されたJSONベースのメッセージングプロトコルを使用しています。これにより、攻撃者は以下のような高度なコマンドを発行することができます:

  • 任意のスクリプトおよびコマンドの実行。
  • バイナリペイロードの注入。
  • ファイルシステムの列挙。
  • マルウェアのリモート終了。

これらのアップグレードは、後期侵害フェーズで攻撃者が利用できる柔軟性とコントロールを大幅に増加させています。

調査では、ドメイン sfrclak[.]com が攻撃インフラストラクチャの重要な部分であることが特定されました。初めはIPアドレス 142.11.206[.]73 でホストされていたこのドメインは、後にC2サーバーとして使用されました。

特に注目すべき点は、このインフラストラクチャが他の2つのIPアドレス 23.254.203[.]244 および 23.254.167[.]216 とホストサービスバナーハッシュを共有していることです。

前者は2025年12月からSTARDUST CHOLLIMAアクティビティに関連付けられており、後者は以前FAMOUS CHOLLIMAのInvisibleFerretマルウェアキャンペーンに関連付けられていました。

このドメインはHostwindsを通じて登録されており、Hostwindsは過去のSTARDUST CHOLLIMA作戦で頻繁に使用されるプロバイダーであり、帰属をさらに強化しています。

帰属と動機

FAMOUS CHOLLIMAとのインフラストラクチャの重複は帰属を複雑にしていますが、CrowdStrikeはSTARDUST CHOLLIMAがより可能性の高い主体であると評価しています。

この結論は、ZshBucketマルウェアの使用に基づいており、これはグループに独特に関連付けられており、このキャンペーンで観察された高度な技術的能力に基づいています。

攻撃の正確なターゲットは不明なままです。ただし、STARDUST CHOLLIMAは特に暗号資産ユーザーと金融テクノロジープラットフォームをターゲットにした、経済的動機のある作戦で知られています。このグループはnpmおよびPyPIリポジトリを侵害して大規模にマルウェアを配布する歴史があります。

Axiosの広範な使用を考えると、この攻撃はリーチを最大化し、高価値のターゲットを侵害する可能性を高めるように設計された可能性があります。

このインシデントは、DPRK関連の脅威アクターからの活動の増加という広い傾向を強調しています。2025年後半以降、STARDUST CHOLLIMAは、供給チェーン侵害などのスケーラブルな攻撃方法に焦点を当てた作戦を大幅に加速させています。

セキュリティエキスパートは、このような攻撃が信頼されたソフトウェアエコシステムに浸透し、大量の被害者に到達する効率的な方法を提供するため、継続する可能性が高いと警告しています。

組織は依存関係を監査し、異常なパッケージ更新を監視し、厳密なアクセス制御を実装して、今後の同様の侵害のリスクを軽減することが推奨されています。

翻訳元: https://gbhackers.com/axios-npm-in-supply-chain/

ソース: gbhackers.com
#Axios #C2サーバー #npm #STARDUST CHOLLIMA #ZshBucketマルウェア #オープンソースセキュリティ #メンテナー認証情報侵害 #供給チェーン攻撃 #北朝鮮ハッカー #暗号資産

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚