脅威アクターがStrapi エコシステムを狙った新たな供給チェーン攻撃を仕掛けており、36 個の悪意あるNPM パッケージが関与していることが、供給チェーンセキュリティ企業SafeDep によって明らかにされました。
Node.js 上に構築されたオープンソースのヘッドレスCMS であるStrapi は、開発者がウェブサイトとモバイルアプリケーションを作成し、API を生成することを可能にし、彼らが好みのツールとフレームワークを使用できるようにします。
金曜日、SafeDep は4 つのアカウントで公開された36 個のNPM パッケージが単一キャンペーンの一部として、Redis コード実行、Docker コンテナエスケープ、認証情報窃取、リバースシェルデプロイメント可能な様々な悪意あるペイロードを配信していることを警告しました。
ペイロードの1 つはRedis インスタンスを悪用してcrontab エントリを挿入し、PHP ウェブシェルとNode.js リバースシェルをデプロイし、SSH キーを挿入し、Guardarian API モジュールを流出させます。
別のペイロードはオーバーレイファイルシステムの発見経由でDocker コンテナをエスケープし、ホストディレクトリにシェルを書き込み、リバースシェルを起動し、Elasticsearch とウォレットの認証情報を読み取るために設計されました。
他のペイロードはリバースシェルのデプロイ、認証情報の窃取、PostgreSQL データベースへの的標、ウォレット/キーファイルの検索、Strapi 設定の流出、永続的なインプラントのデプロイメントが観察されました。
SafeDep によると、キャンペーンは暗号通貨ペイメントゲートウェイGuardarian を狙っており、これはそれに関連するデータベースの直接プロービング、Guardarian API モジュールの使用、および特定のウォレットファイルの的標化に基づいています。
「8 つのペイロードは明確な物語を示しています。攻撃者は積極的に開始(Redis RCE、Docker エスケープ)し、これらのアプローチが機能していないことに気付き、偵察とデータ収集にシフトし、ハードコードされた認証情報を使用した直接データベースアクセスを試み、最終的に的標とした認証情報窃取による永続的なアクセスに落ち着いた」とサイバーセキュリティ企業は指摘しています。
SafeDep はキャンペーンがStrapi ユーザー向けに調整されたと評価しており、プラグイン命名スキーム、設定ディレクトリのファイルパス、Docker イメージの環境変数パス、Strapi キャッシュバックエンドとして使用されるRedis インスタンスの的標化、およびLinux システムへの焦点に基づいています。
悪意あるパッケージをインストールしたユーザーは、データベースパスワード、API キー、JWT シークレット、およびシステムに保存されている他のシークレットを含むすべての認証情報をローテーションすることをお勧めされています。
翻訳元: https://www.securityweek.com/guardarian-users-targeted-with-malicious-strapi-npm-packages/
