新しいnpmサプライチェーンインシデントが発生し、研究者がNamestaxエコシステムに関連する悪意のあるパッケージを、以前のCanisterWorm攻撃と同じように動作するマルウェアにリンクさせた後、ソフトウェアチームに新たな懸念が生じています。
このキャンペーンはTeamPCPにリンクされた操作で見られるのと同じ戦術を使用しているようです:悪意のあるコードはパッケージのインストール中に実行され、開発者マシンから秘密を盗み、盗まれたデータを攻撃者の制御するインフラストラクチャに送信し、公開アクセスを悪用してさらに拡散しようとします。
影響を受けるパッケージには、@automagik/genieとpgserveの複数のバージョンが含まれます。同時に、関連する脅威ハンティングでは、@fairwordsや@openwebconceptなどの他の名前空間の下のパッケージに関連する疑わしいアクティビティも見つかりました。
研究者は、コード動作、攻撃方法、インフラストラクチャの重複が、共有マルウェア系統または直接的なコード再利用を示唆するのに十分であると述べています。このケースはまだ進行中であり、侵害の完全な範囲はまだ不明です。
このマルウェアは単純なパッケージトロイの木馬以上のものです。インストール後、被害マシンで有用な秘密を検索します。
これには、.npmrc、SSHキー、クラウド認証情報、.envファイル、シェル履歴、Git認証情報、KubernetesおよびDocker設定、ならびにアクセストークンまたはパスワードが含まれる可能性のあるその他のファイルが含まれます。
また、Chrome、MetaMask、Phantom、Solana、Ethereum、Bitcoin、Exodus、Atomic Walletにリンクされたアーティファクトを含む、ブラウザーと暗号ウォレットのデータも探します。
盗まれた情報は、通常のHTTPS Webhookとインターネットコンピュータプロトコルキャニスターエンドポイントの2つのチャネルを通じて送信されます。
場合によっては、データは流出前にRSAとAESで暗号化されます。研究者はまた、npmトークンを抽出し、被害者が公開できるパッケージを発見し、悪意のあるpostinstallフックを注入し、それらのパッケージを再公開しようとするロジックを見つけました。
ペイロードはPython .pth技術を使用したPyPIの伝播ステップも含まれており、攻撃者がnpm内にとどまらずエコシステム全体を移動しようとしていることを示しています。
このケースを特に深刻にしているのは、ターゲットされたパッケージがアクティブな開発と実際のユーザーを持つ実際のパブリックプロジェクトに関連付けられているようであることです。
フラグが設定されたパッケージの1つである@automagik/genieは、分析時に意味のある週ごとのダウンロード数を持っていたため、その影響が開発者、テスト、およびsocket AIワークフロー環境に到達する可能性があることを示唆しています。
研究者はまた、pgserveのリリースのミスマッチも指摘しました。npmバージョンが対応するGitタグなしで表示されました。これはより詳しく検討する価値のある警告です。
防御者にとって、メッセージは明確です:リストされたバージョンを安全であることが証明されるまで悪意のあるものとして扱い、環境から削除し、公開された秘密をローテーションし、パッケージの公開履歴を確認し、内部ミラーとリポジトリ全体で関連するインジケータを探してください。
このインシデントは、1つの感染した開発者システムがより広範なソフトウェアサプライチェーン侵害の出発点になる可能性がある方法を示しています。
翻訳元: https://cyberpress.org/namastex-packages-drop-canisterworm/
