人気のパスワードマネージャーで広く利用されているコマンドラインインターフェース(CLI)のBitwardenをターゲットとしたサプライチェーン攻撃。
攻撃者はBitwardenのCI/CDパイプライン内のGitHub Actionsワークフローを悪用して、npmパッケージに悪意のあるコードを注入しました。これは進行中のCheckmarx関連のサプライチェーンキャンペーンのさらなるエスカレーションを示しています。
重要なことに、この事件はCLIツールのnpm配布に限定されています。BitwardenのブラウザエクステンションChromeエクステンションを含む、および他の公式リリースは影響を受けていません。
この攻撃は、ソフトウェアサプライチェーンに関連する増加するリスク、特にGitHub Actionsのような自動化パイプラインが改ざんされたパッケージを大規模に配布する場合のリスクを強調しています。
注入されたマルウェアは、積極的な認証情報ハーベスターとして機能します。
実行されると、システムメモリと環境変数をスキャンして、以下を含む機密データを抽出します:
マルウェアは、以前のCheckmarx攻撃にリンクされたコマンド・アンド・コントロール(C2)エンドポイントと通信します。特に94.154.172.43とaudit.checkmarx.cxのインフラストラクチャです。
興味深いことに、ペイロードにはロシアロケールベースのキルスイッチが含まれています。システムロケールまたは環境変数が「ru」で始まる場合、マルウェアは実行せずに終了し、意図的なターゲティング制限を示唆しています。
従来のデータ流出方法の代わりに、攻撃者は侵害されたGitHubアカウントを使用して、盗まれたデータを含む公開リポジトリを作成しました。
これらのリポジトリは、SFフランチャイズ「Dune」に触発された明確な命名規則に従い、「fremen」「sandworm」「mentat」などの用語を使用しています。
これらのリポジトリ内の説明には、「Shai-Hulud: The Third Coming」や「Butlerian Jihad」マニフェストなどの参照が含まれており、攻撃者によるイデオロギー的またはシグネチャベースのブランディングを示しています。
永続性を維持するために、マルウェアはシェルプロファイルスクリプトに自分自身を注入し、ロックファイル(/tmp/tmp.987654321.lock)を使用して重複実行を防止します。
セキュリティチームは次のインジケータに注意する必要があります:
影響を受けるパッケージを使用している組織は、これを重大な認証情報露出インシデントとして扱う必要があります。
長期的な回復力のために、組織は最小権限アクセスを強制し、短命トークンを採用し、GitHub Actionsの権限を強化してサプライチェーン攻撃のリスクを低減する必要があります。
翻訳元: https://cyberpress.org/bitwarden-cli-hit/