悪意のあるnpmパッケージが認証情報を盗み、開発者エコシステム全体に拡散しようとするマルウェアを配布していることが判明しました。
Socketからの新しい研究によると、この活動は、コマンドアンドコントロール(C2)にインターネットコンピュータプロトコル(ICP)キャニスターを含むブロックチェーンホスト型インフラストラクチャを使用した以前のワーム型供給チェーン攻撃に似ています。
影響を受けたパッケージには、@automagik/genieとpgserveの複数のバージョンが含まれており、どちらも開発者ツールのワークフローに関連しています。研究者らは、マルウェアがインストール中に実行され、機密データを収集し、盗まれた認証情報を使用して侵害されたパッケージを再公開しようとしていることを発見しました。
マルウェアが機密データに焦点を当てる
ペイロードは、環境変数と設定ファイルに保存されたシークレットについてインフェクトされたシステムをスキャンします。ターゲットとなるデータには、クラウド認証情報、CI/CDトークン、SSHキー、.npmrcやシェル履歴などのローカル開発者アーティファクトが含まれます。
また、Chromeプロファイルやメタマスク、ファントムなどの拡張機能を含む、ブラウザに保存されたデータと暗号通貨ウォレットにアクセスしようとします。
流出は2つのチャネルを通じて発生します。標準的なHTTPS Webhookと、IPCエンドポイントです。データはAES-256およびRSA方式を使用して暗号化できますが、プレーンテキストフォールバックも可能です。
自己伝播と考えられるリポジトリの侵害
マルウェアの重要な機能は、その拡散能力です。マルウェアはnpmトークンを抽出し、アクセス可能なパッケージを特定し、悪意のあるコードを注入して再公開し、エコシステム全体への更なる侵害を可能にします。
また、認証情報が存在する場合、.pthファイルインジェクションを使用して悪意のあるパッケージを生成することで、PythonのPyPIリポジトリを介して伝播する機能も含まれています。
同様の脅威についてさらに読む:PyPIで発見された悪意のある機械学習モデル攻撃
研究者らは、インストール後スクリプトとキャニスターベースのインフラストラクチャの使用を含む、以前のTeamPCPリンク型キャンペーンとの類似点を観察しました。ただし、侵害の正確な原因は調査中です。
証拠は、正当なプロジェクトがハイジャックされた可能性があることを示唆しています。影響を受けたいくつかのパッケージはアクティブに使用されており、1つは週6,700以上のダウンロード数を示しています。npmリリースとGitタグの矛盾が、さらに疑念を高めます。
Socketは、状況が進展中であり、追加の悪意のあるバージョンが引き続き出現しており、攻撃の全範囲がまだ確認されていないと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/npm-supply-chain-worm-canister/
