Axiosのnpm漏洩は標的型ソーシャルエンジニアリング攻撃に遡ることが判明

広く使用されているAxiosのnpmパッケージの最近の漏洩は、標的型ソーシャルエンジニアリング攻撃の結果であることが確認されました。

開発者を悪意あるコードに一時的にさらしたこのインシデントは、オープンソースソフトウェアサプライチェーン内での増加するリスクをハイライトしています。

3月31日、攻撃者はAxiosの2つの悪意あるバージョンをnpmに公開することに成功しました。これらのバージョンは、macOS、Windows、Linuxシステムに影響を与えるリモートアクセストロイの木馬（RAT）を展開する隠れた依存関係を導入しました。

Axiosは開発スタック内に深く埋め込まれた推移的な依存関係を通じてプロジェクトに到達し、直接ユーザーをはるかに超える潜在的な影響を及ぼしました。

攻撃者は合法的でよく知られた企業になりすまし、協力を装って接触を開始したとのことです。

悪意あるリリースがセーフガードを回避

このキャンペーンは、複製された企業識別情報、説得力のあるSlackワークスペース、信頼を構築するために設計された段階的なミーティングなど、複数の段階を含んでいました。

最終的に、攻撃者はサーマン氏に悪意あるインストールを実行するよう説得し、彼のシステムへのリモートアクセスを付与しました。

メンテナーのマシンへのアクセスを得た攻撃者は、認証クッキーを含むアクティブなブラウザセッションをハイジャックすることができました。

これにより、攻撃者は二要素認証（2FA）やOIDCベースの保護などのセキュリティ対策をバイパスすることなく、npmおよびGitHubアカウントの両方を完全に制御できるようになりました。

サーマン氏は、攻撃者が「ブラウザからハイジャックするのに十分なアクセス権を持っていた」と述べており、事実上正当なメンテナーと同じ特権で操作していました。

攻撃者がメンテナーの認証環境を利用したため、既存のセキュリティ制御は悪意あるパッケージの公開を防ぐことができませんでした。システムの観点からは、リリースは正当なものに見えました。

このタイプの漏洩は、ソフトウェアサプライチェーンセキュリティの重大な弱点を示しています。攻撃者が信頼されたアクセスを獲得すると、技術的なセーフガードだけでは十分でないかもしれません。

この場合、攻撃はAxiosコードの脆弱性を悪用したものではなく、むしろそれの背後にある人間層を悪用したものでした。

Axiosインシデントは、限定的なサポートで重要なインフラストラクチャを管理する多くの個々のオープンソースメンテナーに対して加えられる増加するプレッシャーを強調しています。

サーマン氏は「よく知られた」ソーシャルエンジニアリング戦術の犠牲になったことを認め、攻撃者は既存の保護に関わらず完全なアクセスを達成したであろうと述べました。

漏洩の後、彼はすべてのデバイスをワイプし、認証情報をローテーションし、ハードウェアセキュリティキーや改善されたパブリッシングワークフローを含むより強力なセーフガードの実装を開始しました。

この攻撃は、xz utilsバックドアなど、敵対者が攻撃を実行する前に信頼を構築するのに時間を投資するサプライチェーンの脅威で見られるより広いトレンドを反映しています。Axiosの場合、信頼関係はメンテナーを通じて直接悪用されました。

Axiosはまた、プロジェクトで明示的な開発者の認識なしに含まれることが多く、JavaScriptエコシステムに深く組み込まれています。これは、悪意あるコードが数千のアプリケーション全体に静かに伝播する可能性があるため、すべての漏洩を特に危険なものにします。

セキュリティ専門家は、オープンソースメンテナーがますます高い価値のターゲットになっていることを強調しています。彼らのアクセスは攻撃者にグローバルソフトウェアサプライチェーンへの直接のパスを提供できます。

このインシデントは、オープンソースエコシステムの保護には技術的な防御以上のものが必要であることの厳しい思い出させてくれます。

また、メンテナーの強化されたサポートシステム、改善されたオペレーショナルセキュリティプラクティス、専用リソース、および重要なインフラストラクチャとしての彼らの役割の認識も必要とします。

攻撃は進化し続けるため、Axiosの漏洩は重要な現実をハイライトしています。コードが大規模に信頼されている場合、攻撃者はしばしばそれの背後にいる人々をターゲットにします。