TokyoBlackHatNews

meterpreter.org 4分で読了

15秒の乗っ取り:北朝鮮のUNC1069がAxiosと1億人のユーザーをハイジャックした方法

数百万のデジタルアーキテクチャで利用される定番のJavaScriptライブラリであるaxiosは、数時間にわたって悪意のあるコードを配布するための導管に変えられました。計画的な工作により、攻撃者は主要メンテナーのアカウントを破壊し、彼の認証情報を利用して汚染されたバージョンのライブラリを配布しました。

この大惨事は3月31日に展開されました。わずか2時間の時間枠内に、axiosの2つの侵害されたバージョン、具体的には1.14.1と0.30.4がnpmレジストリに現れました。これらのリリースに含まれていたのは、[email protected]という有毒な依存関係であり、開発者のワークステーションにリモートアクセストロージャンを植え込むように設計されていました。インストール時に、略奪者たちはホストシステムに絶対的な支配を確保し、二要素認証の要塞さえもバイパスしました。

この破壊工作は、汚染されたパッケージの公開ずっと前に開始されました。攻撃の2週間前、メンテナーのジェイソン・サーマンは一流企業の創業者からの招待を受け取りました。攻撃者たちはそのブランドの美的側面を注意深く複製し、非常にもっともらしい通信シーケンスを仕組みました。最初に、彼らは開発者を合成チャネル、アーカイブされた投稿、および本物の特徴を備えた従業員プロフィールが満載のSlackワークスペースに誘い込みました。

その後、Microsoft Teamsの招待が続きました。接続すると、インターフェースはシステムの若返りのための欺瞞的な命令を提示しました。開発者は、そのプロンプトをクライアントアーキテクチャの標準的なコンポーネントであると認識し、提案されたモジュールをインストールしました。正当なアップデートの代わりに、RAT(リモートアクセストロージャン)が起動され、攻撃者たちに彼のマシンへの完全なアクセスを与えました。

アカウントを奪取した後、攻撃者たちは素早くnpmに感染したライブラリバージョンをアップロードしました。最初のリリースは00:21 UTCに現れ、その後約40分後に2番目のイテレーションが続きました。集合体のメンバーが異常な行動をすぐに識別した一方で、攻撃者たちは侵害されたアカウントを利用して、ユーザーが報告した問題を体系的に削除することで、対応を抑制しようとしました。

この攻撃は最終的に開発コミュニティの迅速な介入によって沈静化されました。プロジェクト参加者はnpm管理部門と直接の連絡を確立し、03:15および03:29 UTCに悪意のあるバージョンの削除につながりました。それでも、その数時間の間に、汚染されたパッケージは通常のインストールおよび依存関係の更新コマンドを通じてすでに転移していました。

侵入の後、axiosの集合体は根本的にインフラストラクチャを再構築しました。アクセス権限は取り消され、暗号化キーとトークンは回転され、公開パイプラインは強化されました。アセンブリチェーンは不変のビルドで拡張され、公開命令のためにOIDC(OpenID Connect)が統合され、GitHub Actions内のセキュリティプロトコルが厳密に監査されました。重要な脆弱性が認識されました:リリースは個人アカウント経由で配布されており、不正な操作に対する自律的な監視がまったくありませんでした。

この攻撃は北朝鮮のシンジケートUNC1069に属すると言われています。Mandinatからのインテリジェンスによると、これらの攻撃者は高度なソーシャルエンジニアリングとAI駆動型の道具を使用しています。同様の操作では、彼らはTelegramまたはZoomを通じて被害者と接触し、ディープフェイク動画技術を使用して幹部に変身し、技術的な修復の名目で目標者にコマンドを実行するよう強要しています。

彼らの方法論は信頼の遅い育成と延長された相互作用に基づいています。攻撃者たちは緊急性を控え、被害者を妥協へ徐々に導くために数週間にわたって通信を維持しています。彼らの主要なターゲットには、開発者、金融機関、暗号資産プラットフォーム、およびベンチャーキャピタル企業が含まれています。

開発者への危険は極めて深刻でした。axiosは膨大な数のプロジェクトに組み込まれているため、感染したバージョンは平凡なnpm installを通じてシステムに侵入でき、攻撃の明白な兆候はありません。プロジェクトの先駆者は、package-lock.jsonおよびyarn.lockファイルを厳密に監査し、侵害されたバージョンまたはplain-crypto-jsパッケージの存在を確認することをお勧めしています。

疑いが生じた場合は、アーキテクチャを根本的に侵害されているものとして扱うことが推奨されます:悪意のあるパッケージを削除し、環境をクリアし、すべてのキー、トークン、および認証情報を回転させてください。さらに、ネットワークテレメトリーは、ストライク中に使用された疑わしいアドレスとの通信を調べる必要があります。

このインシデントは、npm生態系全体の深刻な脆弱性を露出させました。活発なコミュニティが後援する著名なライブラリでさえ、攻撃者がメンテナーの認証情報を確保すれば脆弱です。このようなパラダイムでは、悪意のあるコードは正当な更新を通じて配布され、ユーザー側の防御は事後的に効果的になるだけです。

翻訳元: https://meterpreter.org/the-15-second-takeover-how-north-koreas-unc1069-hijacked-axios-and-100-million-users/

ソース: meterpreter.org
#Axios #JavaScript #npm #UNC1069 #アカウント乗っ取り #オープンソース #サプライチェーン攻撃 #ソーシャルエンジニアリング #マルウェア #北朝鮮

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす