人気のあるAxios HTTPクライアントのメンテナーが、北朝鮮のハッカーに関連する社会工学キャンペーンの対象となった開発者への詳細な事後分析を公開しました。
これに続いて、脅迫行為者はメンテナーアカウントを侵害し、Axiosの2つの悪意あるバージョン(1.14.1と0.30.4)をnpmパッケージレジストリに公開しました。これはサプライチェーン攻撃を引き起こしました。
これらのリリースは、plain-crypto-jsという依存関係を注入し、macOS、Windows、Linuxシステム上にリモートアクセストロジャン(RAT)をインストールしました。
悪意あるバージョンは削除されるまで約3時間利用可能でしたが、その期間中にインストールしたシステムは侵害されたと見なされるべきであり、すべての認証情報と認証キーをローテーションする必要があります。
Axiosのメンテナーは、影響を受けたシステムをワイプし、すべての認証情報をリセットし、同様のインシデントを防ぐための変更を実装していると述べています。
Google Threat Intelligence Groupはこの攻撃をUNC1069として追跡される北朝鮮の脅迫行為者にリンクしています。
「GTIGはこの活動をUNC1069に関連付けています。UNC1069は少なくとも2018年以来活動している経済的に動機付けられた北朝鮮関連の脅迫行為者です。この脅迫行為者によって以前に使用されたWAVESHAPERの更新版であるWAVESHAPER.V2の使用に基づいています」とGoogleは説明しています。
「さらに、この攻撃で使用されたインフラストラクチャアーティファクトの分析は、過去の活動でUNC1069によって使用されたインフラストラクチャとの重複を示しています。」
社会工学攻撃のターゲット
事後分析によると、侵害は数週間前にプロジェクトの主要メンテナーであるJason Saayman氏への標的型社会工学攻撃を通じて始まりました。
攻撃者は正当な企業になりすまし、そのブランドと創始者の肖像を複製し、メンテナーをその企業になりすましたSlackワークスペースに招待しました。Saayman氏によると、Slackサーバーには現実的なチャネルが含まれており、段階的なアクティビティと従業員や他のオープンソースメンテナーになりすまし偽プロフィールがありました。
「その後、彼らは本物のSlackワークスペースに私を招待しました。このワークスペースは企業のCIでブランド化され、もっともらしい方法で名前が付けられていました」と、Saayman氏は事後分析への投稿で説明しました。
「Slackは非常によく考えられていました。彼らはLinkedInの投稿を共有しているチャネルを持っていて、LinkedInの投稿は本物の企業のアカウントに移動するだけだと思いますが、非常に説得力がありました。彼らは企業のチームの偽プロフィールを持っていたかもしれませんが、多くの他のoSSメンテナーのプロフィールも持っていました。」
攻撃者はMicrosoft Teamsで多数の人を含むように見える会議をスケジュールしました。
通話中に、システムで何かが最新ではないと主張するテクニカルエラーが表示され、メンテナーにエラーを修正するためにTeamsアップデートをインストールするよう促しました。しかし、この偽のアップデートは実際にはRATマルウェアであり、脅迫行為者にメンテナーのデバイスへのリモートアクセスを与え、Axiosプロジェクトのnpm認証情報を取得することができました。
他のメンテナーは、脅迫行為者が偽のMicrosoft Teams SDKアップデートをインストールするよう試みた同様の社会工学攻撃を報告しました。
この攻撃はClickFix攻撃に似ており、被害者は偽のエラーメッセージを表示され、その後マルウェアをデプロイするトラブルシューティング手順に従うよう促されます。
この攻撃は、北朝鮮の脅迫行為者UNC1069によって追跡された同じ戦術を使用して暗号通貨企業をターゲットにしたGoogleの脅威インテリジェンスチームによって報告された以前のキャンペーンを反映しています。
UNC1069脅迫行為者に関連した以前のキャンペーンでは、脅迫行為者はデバイス上に追加のペイロード(バックドア、ダウンローダー、認証情報、ブラウザデータ、セッショントークン、その他の機密情報を盗むように設計されたインフォスティーラーなど)をデプロイします。
攻撃者は認証されたセッションへのアクセスを得たため、MFA保護は効果的にバイパスされ、再認証することなくアカウントへのアクセスが可能になりました。
Axiosのメンテナーは、攻撃がプロジェクトのソースコードの修正を伴わず、代わりにそれ以外は正当なリリースへの悪意ある依存関係の注入に依存していたことを確認しました。
Mochaフレームワークを含む多数のオープンソースプロジェクトのメンテナーであるPelle Wessman氏は、LinkedInに投稿し、同じキャンペーンのターゲットとなったこと、およびマルウェアのインストールを誘す偽のRTC接続エラーメッセージのスクリーンショットを共有しました。
Wessman氏がアプリのインストールを拒否したとき、脅迫行為者は彼にCurlコマンドを実行するよう説得しようとしました。
「アプリを実行しないことが明らかになったときと、ウェブサイトとチャットアプリで行き来をしたとき、彼らは最後の絶望的な試みを1回行い、何かをダウンロードして実行するcurlコマンドを実行するように仕向けようとしました。その後、拒否したとき、彼らは暗くなり、すべての会話を削除しました」とWessman氏は説明しました。
サイバーセキュリティ企業Socketも、これが人気のあるNode.jsプロジェクトのメンテナーをターゲットにし始めた調整されたキャンペーンであることを報告しました。
複数の開発者(広く使用されているパッケージのメンテナーおよびNode.jsコアコントリビューターを含む)が、同様のアウトリーチメッセージと攻撃者によって運営されるSlackワークスペースへの招待を受け取ったと報告しました。
Socketは、これらのメンテナーが週に数十億のダウンロード数のパッケージを担当していることを指摘し、脅迫行為者が高影響プロジェクトに焦点を当てたことを示しています。
「axios侵害の初期分析、その隠されたブラスト半径の深掘り、およびメンテナーがそれが社会工学であることを確認するレポートを公開してから、Node.jsエコシステム全体のメンテナーが同じ社会工学キャンペーンのターゲットになったことを報告するために出てきました」とSocketは説明しました。
「アカウントはnpmレジストリとNode.jsコア自体で最も広く依存されているパッケージの一部にまたがるようになり、together彼らはaxiosが1回限りのターゲットではなかったことを確認しています。それは高信頼で高影響のオープンソースメンテナーを対象とした調整された、スケーラブルな攻撃パターンの一部でした。」
Socketは、キャンペーンが一貫したパターンに従ったと述べ、脅迫行為者は最初にLinkedInやSlackなどのプラットフォームを通じて連絡を取り、その後、受信者をプライベートまたは半プライベートワークスペースに招待しました。
ターゲットとの信頼を築いた後、脅迫行為者はビデオ通話をスケジュールしました。これは、いくつかのケースではMicrosoft Teamsおよびその他のプラットフォームになりすまし、サイトを通じて実施されました。
これらの通話中に、ターゲットにエラーメッセージが表示されました。これにより、より良く機能する「ネイティブ」デスクトップソフトウェアをインストールするか、技術的な問題を修正するためにコマンドを実行するよう促されました。
同じ期間中にこれらのすべてのターゲットに対して使用された同じプレイブックは、これが一連の1回限りの攻撃ではなく、調整されたキャンペーンであったことを示しています。
Socketの研究者は、これらのタイプのサプライチェーン攻撃がより一般的になっており、攻撃者は広く使用されているパッケージに焦点を当て、広範な影響を引き起こしています。
