概要
サイバー犯罪者集団「TeamPCP」は、npmのサプライチェーン攻撃キャンペーン「CanisterWorm」として知られる自動化された攻撃を実施しています。このキャンペーンでは、脅威アクターがnpmアクセストークンを盗み、正当なパブリッシャーアカウントを大規模に悪用します。
攻撃の仕組み
CanisterWormは、既存の信頼されたパッケージから始まります。攻撃者はnpm公開トークンやCI/CDアクセスを取得すると、正当なパッケージコンテンツを悪意のあるビルドに置き換えます。このビルドには、通常のバージョン履歴では気づかないが実行時に自動的に起動するpostinstallフックが含まれています。
影響
- @emilgroup/discount-sdk 1.5.1
- @emilgroup/document-uploader 0.0.10
- @emilgroup/docxtemplater-util 1.1.2
- @emilgroup/numbergenerator-sdk-node 1.3.1
- @emilgroup/partner-portal-sdk 1.1.1
- @emilgroup/setting-sdk 0.2.1
- @emilgroup/task-sdk 1.0.2
- @emilgroup/task-sdk-node 1.0.2
対策
組織は、影響を受けたバージョンを使用している場合、迅速に対応する必要があります。
- トークンの更新:npm公開トークンやCI/CDシークレットをすぐに更新し、新しい資格情報を最小限のスコープと制限付きの有効期限に設定します。
- ログの監査:npmログとパッケージ履歴を監査して、不正な公開がないか確認し、悪意のあるパッチバージョンを非公開にする。
- システムの保護:Linuxではpgmon systemdユーザーサービスを停止し、関連するユニットファイルとデータディレクトリを削除します。