広く使用されているAxiosパッケージの高い注目度を集めたサプライチェーン侵害に続いて、一流のNode.jsおよびnpmメンテナをターゲットとした高度に組織化された社会工学的キャンペーンが発見されました。
セキュリティ研究者らは、Axios侵害がグローバルソフトウェアサプライチェーン侵入を目的とした拡張可能な作戦の一部であったことを確認しています。
脅威アクターは積極的に、基盤となるオープンソースパッケージへの書き込みアクセス権を持つ開発者を探し、信頼できるメンテナをマルウェアの配布チャネルに変えています。
ターゲットにされた個人は、毎月数十億ダウンロードを集める現代的ソフトウェアインフラストラクチャに不可欠なツールを管理しています。
攻撃者は最近、Socket CEOのFeross Aboukhadijeh、Lodashの作成者であるJohn-David Dalton、Fastifyのリード・メンテナであるMatteo Collinaの侵害を試みました。
ターゲットにされた他の著名人には、dotenvパッケージのScott Motte、Node.jsコアコラボレーターのJean Burellier、およびWes ToddやPelle Wessmanのようなエコシステム貢献者が含まれます。
Aboukhadiehは、個々のメンテナに対するこの種の執拗で標的化されたハラスメントが新しい常識になったことをコミュニティに警告しました。
単純なフィッシングリンクに頼るのではなく、脅威アクターは本物のラポール構築を目的とした数週間続く忍耐強い戦術を実行します。
攻撃者は通常、LinkedInやSlackを通じて連絡を開始し、「Openfort」のような偽の企業ペルソナの下で正当なリクルーター、マーケティング代理店、またはポッドキャストホストを装います。
彼らはプロフェッショナルな企業行動で自分たちを行動させ、ビデオ会議を慎重にスケジュール・リスケジュールして、ターゲットを安心させ、信頼の感覚を確立します。
メンテナが会議に同意すると、Microsoft TeamsまたはStreamyardをもじった偽のビデオ会議プラットフォームに誘導されます。
コールに参加した直後、被害者は技術的にもっともらしいオーディオまたはビデオエラーメッセージが表示されます。
この架空の問題を解決するために、サイトは開発者にネイティブアプリケーションをダウンロードするか、ターミナルコマンドを実行するよう求めます。被害者が従った場合、ペイロードはマシンに永続的なリモートアクセストロイの木馬をサイレント形式でインストールします。
このマルウェア配備は二要素認証のような標準的なセキュリティ対策を完全にバイパスするため、非常に効果的です。
SocketのセキュリティリサーチャーTayが説明した通り、トロイの木馬は直ちに被害者の認証後の状態をキャプチャします。
アクティブなブラウザセッションクッキー、AWS認証情報、公開トークンを流出させることで、攻撃者はnpmレジストリへの即座の書き込みアクセス権を取得します。
開発者Wes Toddは、OIDCベースの公開がセキュリティ衛生を改善する一方で、完全に侵害されたローカルマシンに対する誤った安心感を提供すると注意を促しました。
サイバーセキュリティ専門家および組織は、これらの高度な作戦をUNC1069(北朝鮮の脅威グループと疑われる)にリンクしています。
歴史的に、UNC1069は暗号資産の創業者およびベンチャーキャピタリストをターゲットにして、高度なマルウェアを使用してデジタルウォレットを流出させることに数年を費やしました。
しかし、オープンソースメンテナへの戦略的な転換は深刻なエスカレーションを表しています。開発者のnpm公開権をハイジャックすることで、攻撃者は世界中の数百万の継続的統合パイプラインによって自動的に摂取される悪意のある更新プログラムを配布できます。
サイバーセキュリティコミュニティは、開発者に対して非常に警戒心を持ち、恥ずかしさなく経験を共有することを促しています。
脅威アクターがSlackハドルズなどのプラットフォームを含む戦術を継続的に進化させ、AI生成ビデオペルソナを展開する中で、集合的認識が最強の防御であり続けています。
侵害された開発者マシンは、彼らのコードに静かに依存する数百万のエンタープライズサービスへの直接的な攻撃です。
翻訳元: https://gbhackers.com/hackers-launch-social-engineering-offensive-against-key-node-js/
