サイバーセキュリティ研究者は、人気のあるStrapiコンテンツ管理システムのプラグインに偽装した36個の悪質なnpmパッケージを含む高度なサプライチェーン攻撃を発見しました。
これらのパッケージは複数の偽開発者アカウントを使用して公開されました。これらは高度な悪用技術を使用して実世界の本番環境を標的にするように設計されていました。
悪質なパッケージは、正規のStrapiプラグインの命名規則を模倣して、開発者がインストールするよう騙しました。インストールされると、攻撃コードはnpmの「postinstall」スクリプトを通じて自動的に実行され、それ以上のやり取りは必要ありませんでした。
これにより、攻撃者は即座にシステムへのアクセスを獲得でき、開発パイプラインとコンテナ化環境では高い権限を持つことが多くありました。
このキャンペーンは、進化するペイロードのために目立っています。同じマルウェアを使用する代わりに、攻撃者は少なくとも8つの異なるバリアントを展開しており、これはライブで適応型の攻撃操作であることを示しています。
活動は非常に標的を絞ったものに見え、暗号通貨関連のインフラストラクチャへの焦点を示唆する証拠があります。
いくつかの悪質なパッケージは、Redisインスタンスを悪用してリモートコード実行(RCE)を実現しようと試みました。
Redisの設定コマンドを悪用することで、攻撃者はcronジョブ、Webシェル、リバースシェルスクリプトなど、悪質なファイルをホストシステムに直接書き込むことができました。これにより、永続的なアクセスを確立し、リモートでコマンドを実行することができました。
他のバリアントは、オーバーレイファイルシステムパスを識別することでDockerコンテナをエスケープしようと試みることで、攻撃を拡張しました。攻撃者はコンテナ環境の外にファイルを書き込むことができ、ホストシステムが侵害される可能性がありました。
さらに、BashとPythonを含む複数の技術を使用してリバースシェルが起動され、一部のポートがブロックされていても接続性を確保しました。
マルウェアは広範な偵察とデータ収集も実行しました。.env設定ファイル、秘密鍵、ウォレットデータなどの機密ファイルを検索しました。
攻撃者は環境変数をダンプし、ファイルシステム全体をスキャンし、データベース認証情報を抽出しました。場合によっては、ハードコーディングされた認証情報を使用してPostgreSQLデータベースにアクセスし、財務データまたはトランザクションデータを直接抽出しました。
感染したシステムはHTTPを介してリモートサーバーと通信し、盗まれたデータを送信して、さらなる指示を受け取りました。一部のバリアントは活動的な通信ループを維持し、攻撃者がリアルタイムで任意のコマンドを実行することができました。
永続化メカニズムには、cronジョブインジェクション、バックグラウンドプロセス、ファイルレス実行技術が含まれていました。ある場合には、システムの再起動後も長期的なアクセスを維持するために隠しスクリプトが展開されました。
全体的に、このキャンペーンはソフトウェアサプライチェーン攻撃の増大するリスクを浮き彫りにしています。開発者は慎重にnpmパッケージを検証し、信頼できないプラグインを避け、ビルド環境の異常な動作を監視することをお勧めします。
翻訳元: https://cyberpress.org/rogue-npm-packages-deliver-malware/