3月31日、広く使われているJavaScriptライブラリであるAxiosの2つの悪意あるバージョンがnpmレジストリに一時的に公開されたとき、サイバーセキュリティコミュニティは大きな恐怖に直面しました。
これらの侵害されたバージョンには、macOS、Windows、およびLinuxシステムにリモートアクセストロイの木馬をインストールする隠された脅威が含まれていました。
現在、プロジェクトのリード開発者は、攻撃者がどのようにしてそれを実行したかを正確に明かしました。コードの欠陥を見つけるのではなく、ハッカーは高度に洗練されたソーシャルエンジニアリングキャンペーンを通じて人的要素を標的にしました。
Axiosのリード開発者であるJason Saaymanは、最近GitHubで侵害の詳細を共有しました。彼は、ハッカーが協力を求める有名な正当な企業に身を装ったと説明しました。彼らは時間をかけて信頼を確立するための説得力のあるわなを構築しました。
ハッカーは既に認証されたセッション内で動作していたため、二要素認証(2FA)などの標準的なセキュリティ対策では彼らを止めることができませんでした。
このインシデントはソフトウェアサプライチェーン攻撃における危険なトレンドを浮き彫りにしています。Axiosは週に数百万回ダウンロードされ、数え切れないほどの企業アプリケーションと開発ツールのインフラストラクチャに深く組み込まれています。
その巨大な足跡にもかかわらず、それは非常に小さな献身的な個人のチームに依存しています。
ハッカーがソフトウェアパッケージが直接侵入するにはセキュアすぎることに気づくと、彼らはそれを管理する人々に焦点をシフトさせます。これは最近のxz utilsバックドアインシデントで見られた長期ゲーム戦術を反映しています。
ソロ開発者は常にリリースを管理し、コードをレビューし、バグを修正し、高度な脅威に対抗することが期待されています。彼らは通常、企業の資金や専任のセキュリティチームのサポートなしでこの負担を担っています。
Saaymanがインシデント後に述べたように、開発者は常に搾取から警戒しながら、単に有用なツール構築に焦点を当てることができないのは残念なことです。
Axiosの侵害は、ソフトウェアサプライチェーンのセキュリティ確保には優れたコード以上のものが必要であることを厳しく思い出させてくれます。インフラストラクチャを稼働させ続けている人的開発者を保護し、サポートすることが必要です。
翻訳元: https://cyberpress.org/axios-npm-breach-confirmed/