悪意のあるワームがサプライチェーン攻撃で暗号資産ドメインを侵害
11月24日、セキュリティ企業Aikidoは、Shai-Hulud自己増殖型npmワームの第2波を検知し、合計月間1億3200万ダウンロードを誇る492のパッケージが侵害されたことを明らかにしました。
この攻撃は、AsyncAPI、PostHog、Postman、Zapier、ENSなどの主要なエコシステムを襲い、npmが12月9日にレガシー認証トークンを無効化する期限直前の数週間を狙って行われました。
Aikidoのトリアージキューは、UTC午前3時16分頃に侵入を検知し、AsyncAPIのgo-templateおよび関連する36のパッケージの悪意あるバージョンがレジストリ全体に拡散し始めました。
攻撃者は、盗まれた認証情報のリポジトリに「Sha1-Hulud: The Second Coming」という説明を付け、9月のキャンペーンから続く演出的なブランディングを維持していました。
このワームはパッケージのセットアップ時にBunランタイムをインストールし、その後TruffleHogを用いて開発者環境内の漏洩したシークレットを検索する悪意あるコードを実行します。
侵害されたAPIキー、GitHubトークン、npm認証情報はランダムな名前の公開リポジトリに公開され、マルウェアはさらに最大100の追加パッケージに新たな感染バージョンをプッシュして拡散を試みます。これは9月の攻撃の5倍の規模です。
技術的進化と破壊的ペイロード
11月のバージョンでは、9月の攻撃からいくつかの変更が加えられています。
マルウェアは、盗まれたデータ用のリポジトリ名をハードコードせず、ランダムに生成するようになり、削除対応を困難にしています。
セットアップコードはsetup_bun.js経由でBunをインストールし、その後bun_environment.js内のメインペイロードを実行します。ここにワームのロジックと認証情報流出ルーチンが含まれています。
最も破壊的な追加点は、盗まれた認証情報でGitHubやnpmへの認証に失敗した場合、ユーザーのホームディレクトリ内のすべてのファイルを消去することです。
Aikidoの分析によると、実行エラーが攻撃の拡散を制限していました。ワーム全体を新しいパッケージにコピーするバンドルコードが、時折bun_environment.jsを含めず、Bunインストールスクリプトのみが残る場合がありました。
これらの失敗にもかかわらず、最初の侵害は大きな影響範囲を持つ高価値ターゲットに命中しました。
AsyncAPIパッケージが第1波を席巻し、@asyncapi/cli、@asyncapi/parser、@asyncapi/generatorを含む36のリリースが侵害されました。
PostHogはUTC午前4時11分に続き、posthog-js、posthog-node、および多数のプラグインの感染バージョンが確認されました。PostmanパッケージはUTC午前5時9分に登場しました。
Zapierの侵害は@zapier/zapier-sdk、zapier-platform-cli、zapier-platform-coreに影響し、ENSの侵害は@ensdomains/ensjs、@ensdomains/ens-contracts、ethereum-ensに影響しました。
GitHubブランチ作成がリポジトリレベルのアクセスを示唆
AsyncAPIチームは、侵害されたパッケージがnpmに登場する直前に、CLIリポジトリ内に悪意あるブランチが作成されていることを発見しました。
このブランチにはShai-Huludマルウェアのデプロイ済みバージョンが含まれており、攻撃者が単にnpmトークンを乗っ取っただけでなく、リポジトリ自体への書き込み権限を得ていたことを示しています。
このエスカレーションは、攻撃者が正規のビルドパイプラインに悪意あるコードを注入するためにソースリポジトリを改変した、元のNx侵害で使われた手法と類似しています。
Aikidoは、現在26,300のGitHubリポジトリが「Sha1-Hulud: The Second Coming」の説明付きで盗まれた認証情報を含んでいると推定しています。
これらのリポジトリには、侵害されたパッケージを実行した開発者環境から漏洩したクラウドサービス認証情報、CI/CDトークン、サードパーティAPIの認証キーなどのシークレットが含まれています。
漏洩が公開されていることで被害は拡大します。リポジトリを監視している攻撃者は、リアルタイムで認証情報を収集し、二次攻撃を仕掛けることが可能です。
攻撃のタイミングと対策
このタイミングは、npmが11月15日に12月9日でクラシック認証トークンを無効化すると発表したことと一致しています。
攻撃者が期限前に最後の大規模キャンペーンを仕掛けたことは、トークンベースの侵害の機会が間もなく閉ざされることを認識していたことを示唆しています。Aikidoのタイムラインによれば、最初のShai-Huludの波は9月16日に始まりました。
11月24日の「Second Coming」は、npmの移行によってそのアクセスが遮断される前に、攻撃者にとってレガシートークンを悪用する最後の機会となりました。
Aikidoは、セキュリティチームが影響を受けたエコシステムのすべての依存関係、特に11月24日以降にインストールまたは更新されたZapier、ENS、AsyncAPI、PostHog、Postmanパッケージを監査することを推奨しています。
組織は、これらのパッケージが存在した環境で使用されたすべてのGitHub、npm、クラウド、CI/CDのシークレットをローテーションし、「Sha1-Hulud: The Second Coming」の説明付きリポジトリをGitHubで検索して、内部認証情報が漏洩していないか確認すべきです。
CIパイプラインでnpmのpostinstallスクリプトを無効化することで、今後のインストール時の実行を防止でき、ロックファイルでパッケージバージョンを固定することで、新たに侵害されたリリースへの露出を制限できます。
この投稿「Malicious worm compromises crypto domains in supply-chain attack」はCryptoSlateに最初に掲載されました。
免責事項:本記事の内容はあくまでも筆者の意見を反映したものであり、いかなる立場においても当プラットフォームを代表するものではありません。また、本記事は投資判断の参考となることを目的としたものではありません。
こちらもいかがですか?
IoTeXは、スマートデバイス向けに設計された世界初のオンチェーンIDソリューション「ioID」を発表
ioIDは、スマートデバイスのID管理方法を革新し、分散型IoT(DePIN)によるデバイス認証やデータ保護を可能にし、ユーザーが所有し、あらゆるブロックチェーンと互換性のあるエコシステム内で次世代のユースケースを解放します。
Chainlink(LINK)とSui(SUI):次の暗号資産ラリーに向けた最適なセットアップは?価格分析
火星早報 | 先週、世界の上場企業がBTCを1,340万ドル純購入、Strategyは先週ビットコインを購入せず
米連邦準備制度理事会(FRB)の12月利下げ観測が高まり、bitcoinは一時89,000ドルを突破し、ナスダック指数は2.69%急騰しました。FRB内部では利下げをめぐって意見の分裂があり、仮想通貨市場は強く反応しています。
暗号業界の裏戦争が激化:求職者の40%が北朝鮮の工作員?
北朝鮮の工作員は、全暗号資産企業の15%~20%に潜入しており、暗号資産業界の求人応募の30%~40%は北朝鮮工作員によるものである可能性があります。彼らはリモートワーカーとして代理人を装い、マルウェアやソーシャルエンジニアリングを利用して資金を盗み、インフラを操作しています。北朝鮮のハッカーは、核兵器計画のためにこれまでに30億ドル以上の暗号資産を盗んでいます。 要約はMars AIによって生成されました。この要約はMars AIモデルによって生成されており、その内容の正確性や完全性は継続的に更新されています。
トレンド
もっと見る暗号資産価格
もっと見る
