サイバーセキュリティ研究者は、npmレジストリを通じて開発者を狙った活動中のサプライチェーン攻撃を発見しました。
Socket Research Teamは、正規のTanStackオーガニゼーションになりすまして偽装した悪意のあるスコープなしパッケージ「tanstack」を検出しました。開発者がこの偽造パッケージを誤ってインストールすると、マシンから機密環境変数が静かに盗まれます。盗まれたデータは自動的に攻撃者が制御するリモートサーバーに送信されます。
この攻撃は、オープンソースソフトウェアリポジトリにおけるブランドスクワッティングの継続的な脅威を強調しています。メンテナーアカウント「sh20raj」で活動する脅威アクターは、今日わずか27分間で4つの悪意のあるアップデートを急速に公開しました。
この短いタイムラインは、段階的なシステム侵害ではなく、意図的で綿密に計画された攻撃を示しています。研究者は、異常なポストインストール動作を監視する脅威検出システムを通じて悪意のある活動を自動的に検出しました。
偽造パッケージは、スコープ付きの「@tanstack/*」ネームスペースでコードを安全に公開する正規のTanStackプロジェクトの莫大な人気を悪用しています。
スコープなしの「tanstack」名を主張することで、攻撃者はタイプミスをするか正規のネーミング規則を誤解する可能性のある開発者のためのトラップを作成しました。
このパッケージはメンテナーが悪意のあるデータ盗難コードを導入する前に、1ヶ月以上npmレジストリに静かに存在していました。無害から悪意のある動作への急激なシフトは、攻撃を開始する前に初期信頼を構築するための一般的な戦術です。
悪意のあるコードはポストインストールスクリプトを通じてインストール中に実行されます。これらのスクリプトは開発者がパッケージをダウンロードするときに自動的に実行され、攻撃者にローカルファイルシステムへの即座のアクセスを与えます。
攻撃の主な目的は、環境変数を含むファイルを探して盗むことです。これらのファイルは通常、APIキー、データベースパスワード、内部ネットワーク設定などの非常に機密性の高い開発者情報を保存しています。
攻撃者はパッケージのいくつかの異なるバージョンをリリースし、それぞれがデータ盗難プロセスを改良しました:
インストール時にローカル環境ファイルに保存されている認証情報、APIキー、またはパスワードは、すべて侵害されたと見なし、すぐにローテーションする必要があります。
悪意のあるパッケージの削除では十分ではありません。データ流出はインストールプロセスが開始される直後に発生するからです。
翻訳元: https://cyberpress.org/fake-tanstack-package-steals/