出典:Alamy Stock Photo経由のArterra Picture Library
Axiosの攻撃は、ソーシャルエンジニアリング攻撃の高度さ、スケーラビリティ、および工業化を浮き彫りにしました。
先月末、極めて人気の高いJavaScript HTTPクライアントライブラリであるAxiosのNPMパッケージが、ソーシャルエンジニアリング攻撃で侵害されました。北朝鮮の脅威グループUNC1069と考えられる脅威アクターが、主任メンテナーのJason Saayman氏のアカウントを侵害しました。その後、攻撃者はNPMに2つの悪意のあるバージョンを公開し、それぞれがリモートアクセストロイの木馬(RAT)を含む新しい悪意のある依存関係を含んでいました。これは、不幸にも悪意のある更新をインストールしたデベロッパーを感染させるものでした。
ソフトウェア開発コミュニティはこの攻撃に素早く対応し、悪意のあるバージョンは数時間以内に削除されましたが、Axiosは週に1億回以上ダウンロードされています。
GitHubの事後分析投稿の中で、Saayman氏は、主任メンテナーが攻撃の2週間前に始まったソーシャルエンジニアリングキャンペーンで騙されたこと、およびAxiosチームが侵害がどのように発生したかを正確に調査中であることを述べました。
メンテナーは、脅威アクターが企業の創設者として接触し、創設者の容貌だけでなく企業も複製していたと述べました。攻撃者はSaayman氏を実在するSlackワークスペースに招待し、複数のアクティブなチャネルがあり、「非常に説得力がありました」。その後、メンテナーはMicrosoft Teamsで接続するための会議に招待され、参加すると、システムが「時代遅れ」であるため、欠落しているファイルをインストールするよう求められました。Saayman氏が欠落しているアイテムをインストールしたとき、それはNPMパッケージを通じて広がったRATであることが判明しました。
メンテナーが指摘した追加の詳細は、彼のNPMアカウントで二段階認証(2FA)が有効になっていたにもかかわらず、RATが彼のコンピューターに対する完全な「一方的な」制御を提供していたということでした。
Axios だけではない
Axiosの侵害につながった脅威キャンペーンは、広範なユーザーと経営幹部を対象にしていたようです。セキュリティ研究者のTaylor Monahan氏(@tayvano)は事後分析スレッドで、ソーシャルエンジニアリングキャンペーンの詳細な技術分析を投稿しました。彼女は、攻撃者がターゲットが侵害される通話の直前に多くの時間を費やしていると述べました。緊迫感はなく、ワンクリックフィッシングもなく、通話は延期されなど、ターゲットを武装解除するためのツールです。
Monahan氏は、これら特定の北朝鮮の行為者が何年も前からソーシャルエンジニアリング攻撃によって暗号資産の創設者、ベンチャーキャピタルの経営幹部、および有名人を対象にしていると主張しました。時には情報や暗号資産の盗難者です。時には長期的なアクセスやキーロガーのインストール用です。研究者は、攻撃者が侵入すると、2FAのようなものはもはや重要ではないことを強調しました。
開発セキュリティベンダーのSocketは、この広範なキャンペーンの詳細な調査を先週後半に公開し、オープンソースソフトウェアコミュニティの多くのメンバーが現在までターゲットにされていることを観察しました。これには多くのSocket技術者だけでなく、同社のCEOであるFeross Aboukhadijeh氏も含まれており、彼は数十の広く使用されているNPMパッケージの開発を作成または参加しています。多くの他のデベロッパーと技術経営幹部が同じ遅行社会工学攻撃のプレイブックによってターゲットにされました。
これらは毎週数百万回ダウンロードされるソフトウェアパッケージへの直接アクセスを持つ人々です。攻撃者がそのような重要なアクセス権を持つ人々のほんの一握りを侵害できれば、Axios侵害が孤立したインシデントのままである可能性は低いことは簡単に理解できます。特にShai-hulud、GlassWorm、および最近数ヶ月間で開発コミュニティを困難に陥れた他のキャンペーンを考慮に入れると。
より産業化したソーシャルエンジニアリング情勢
Sophos の主任脅威研究員Sarah Kern氏は、Axios攻撃が朝鮮民主主義人民共和国(DPRK)が何年も行ってきたソーシャルエンジニアリングキャンペーンの種類を反映していると述べています。「Axiosサプライチェーンで見たような大規模な攻撃には1つの高い価値のある被害者で十分ですが、これらの脅威アクターはこれらのスキームを北朝鮮政権の支援を受けてフルタイムでプロットしている」と彼女は言っています。
Aboukhadijeh氏はDark Readingに、これらの種類のソーシャルエンジニアリング攻撃が歴史的には暗号資産の創設者や金銭への直接アクセスを持つ経営幹部のような高い価値のある個人のために予約されていたところから意味のあるシフトがあったと述べています。しかし、「同じプレイブックをオープンソースメンテナーに指すと、潜在的なリーチは完全に変わります。」
「1つの成功した侵害はあなたに1つのウォレットを取得しません。それはあなたに週に数億回ダウンロードされるパッケージへの書き込みアクセスを提供し、そのコードを実行しているすべての組織に広がる爆発範囲を提供します。それは根本的に異なる脅威モデルであり、従来のソーシャルエンジニアリングが決してしなかった方法でスケールします」とAboukhadijeh氏は述べています。
これが起こっている理由について、彼は数つのことが一致したと述べています。AIは信頼を構築するコストを劇的に低下させました(脅威アクターが信じるペルソナを生成し、言語の障壁があっても一貫した会話を維持できるため)、ClickFixおよび同様の配信メカニズムはペイロード配信を摩擦のないものにしました、および攻撃者ツールは大幅に成熟しました。
SentinelOneの著名な脅威研究員Tom Hegel氏は、特に北朝鮮国家主権の脅威グループのような高度な脅威アクターについて言う場合、攻撃者の運用インフラストラクチャが成熟したと述べています。
「遅行アプローチは人間の注意の点で高くつく傾向がありました。これは自然にスケールをキャップしました」と彼はDark Readingに述べています。「その制約は緩んでいますし、スパイクではなく脅威情勢に対する永続的なシフトとしてこれを扱う必要があります。」
