概要
Axios HTTPクライアントのnpmレジストリが深刻なサプライチェーン攻撃により侵害されました。攻撃者は特定のAxiosバージョンに悪意のある依存関係を注入し、任意のコマンドを実行したりシステムデータを盗むことが可能なマルウェアを拡散しました。
影響範囲
この攻撃により、数百万の開発者がマルウェアにさらされました。悪意のあるAxiosバージョン1.14.1と0.30.4は、通常のリリースプロセスをバイパスしてnpmレジストリに直接公開されました。
攻撃手法
攻撃者は、npm postinstallライフサイクルフックを通じてセットアップスクリプト(setup.js)を自動的に実行しました。このスクリプトは、静的解析ツールやシグネチャベースの検出から隠れるために、2層のオブフォスケーション手法を使用しています。
マルウェア展開
- macOS: AppleScriptを使用して、C++ Mach-Oリモートアクセストロイアンを取得します。このトロイの木馬は、正当なAppleバックグラウンドデーモンとして偽装され、システム情報を収集し、ユニークな被害者IDを作成します。
- Windows: PowerShellをWindowsターミナルに偽装してエンドポイント検出ツールをバイパスし、VBScriptを使用して最終的なペイロードをダウンロードします。
- Linux: Pythonスクリプトがバックグラウンドで静かに実行されます。
追跡の消去とカバレージ
マルウェアは、初期セットアップスクリプトや悪意のあるパッケージファイルを削除し、クリーンなマークダウンファイルで置き換えます。これにより、インストールされたディレクトリが危険のない暗号化ライブラリに見えるように偽装されます。
対策と情報源
この攻撃に関する最新情報を得るには、GBHackersのウェブサイトをフォローしてください。また、Googleニュース、LinkedIn、X(旧Twitter)でも更新情報を入手できます。