サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、広く使用されているAxios npmパッケージを標的とした深刻なソフトウェアサプライチェーン攻撃について緊急警告を発表しました。
Axiosは、開発者がNode.jsとブラウザ環境の両方でHTTPリクエストを処理するために使用する人気のあるJavaScriptライブラリであり、その広範な採用のため、この侵害は特に危険です。
これらのバージョンに更新した開発者は、知らないうちにplain-crypto-js バージョン4.2.1という隠れた依存関係をインストールしました。これはステルス性に優れたマルウェアローダーとして機能します。
この悪意のあるパッケージは、攻撃者が管理するインフラストラクチャに接続し、追加のペイロードをダウンロードします。
特定された主要なペイロードはリモートアクセストロージャン(RAT)であり、これにより攻撃者は侵害されたシステムへの永続的なアクセスを獲得できます。
侵入後、脅威アクターはソースコード、環境変数、APIキー、認証情報を含む機密データを盗むことができます。
この攻撃の影響は大きく、特に開発環境に対してです。開発者マシンが感染した場合、攻撃者は企業ネットワークへの横方向の移動が可能になり、CI/CDパイプラインと本番システムが侵害される可能性があります。
これはインシデントを開発者リスクだけでなく、より広範な企業セキュリティ脅威にします。
CISAは組織に直ちに行動を取るよう強く促しています。セキュリティチームは最近のnpmアクティビティを確認し、影響を受けたAxiosバージョンをインストールした可能性のあるシステムを特定する必要があります。
侵害が疑われる場合、組織はAxios 1.14.0または0.30.3などの安全なバージョンにダウングレードする必要があります。
さらに、チームは影響を受けたすべてのプロジェクトから悪意のあるディレクトリnode_modules/plain-crypto-js/を特定して削除する必要があります。
クラウドアクセスキー、npmトークン、SSHキー、CI/CDシークレットを含む、潜在的に公開されている認証情報をすべて取り消し、ローテーションすることも重要です。
ネットワーク監視は別の重要なステップです。組織は既知の悪意のあるドメインSfrclak[.]comへのアウトバウンド接続を監視し、進行中のコマンド・アンド・コントロール活動を特定するためにエンドポイント検出と応答(EDR)調査を実施する必要があります。
直接的な是正を超えて、このインシデントはソフトウェアサプライチェーン攻撃の増加するリスクを強調しています。
脅威アクターは、信頼されたパッケージエコシステムをますます悪用して、大規模にマルウェアを配布しています。将来のリスクを軽減するために、組織はnpmセキュリティ構成を強化する必要があります。
CISAは、パッケージスクリプトの自動実行をブロックするために、.npmrcファイルでignore-scripts=trueを設定することをお勧めします。
もう1つの重要な制御はmin-release-age=7であり、これはまだ検証されていない可能性のある新しく公開されたパッケージのインストールを防ぎます。
組織はまた、開発者アカウント全体にフィッシング耐性マルチファクタ認証を実装し、ビルドシステムの行動ベースラインを確立する必要があります。
異常なプロセスや予期しない外部接続の監視は、攻撃を早期に検出するのに役立つことができます。
このAxios侵害は、信頼できるオープンソースコンポーネントでさえ攻撃ベクトルになる可能性があることを重要な思い出させるもので、プロアクティブなセキュリティ制御が現代のソフトウェア開発に不可欠であることを示しています。
翻訳元: https://cyberpress.org/cisa-warns-axios-npm-package-was-compromised-in-major-supply-chain-attack/