ハッカー、人気オープンソースツールを乗っ取りマルウェア配布
セキュリティ企業StepSecurityによると、月曜日の夜から火曜日の早朝にかけて約3時間で発見され阻止されたが、ハッカーは数百万の開発者を脅威に晒す可能性のあるマルウェアを配布するために人気のあるオープンソースソフトウェア開発ツールであるAxiosを乗っ取り、改変した。
Axiosとは
JavaScriptライブラリとして知られるAxiosは、開発者がそのソフトウェアがインターネットに接続できるようにするためのツールで、npmというオープンソースプロジェクト用のコードを保管するソフトウェアレポジトリにホストされている。
Axios乗っ取りの影響
このライブラリは週に数十万回ダウンロードされており、ハッカーがこのツールを乗っ取ったことで、多くの開発者がマルウェアによって脅威に晒される可能性がある。
ハッキングの手法
ハッカーは、主要な開発者のアカウントを乗っ取り、正当な開発者のメールアドレスを自分のものに置き換えることで、このライブラリを改変した。これにより、被害者がマルウェアによって完全なリモートコントロールを受けた場合の対策として設計されたリモートアクセストロイアン(RAT)が配布された。
供給チェーン攻撃
この種の大規模な侵害は、ハッカーがダウンロードした改変ソフトウェアを使用して誰でもハックできるようにするための供給チェーン攻撃と呼ばれる。最近では、3CXやKaseyaなどの企業だけでなく、Log4jやPolyfill.ioなどのオープンソースツールも標的となっている。
セキュリティ会社からの警告
セキュリティ企業Aikidoはこのインシデントを調査し、「ダウンロードしたコードを持つ人は、システムが侵害されていると想定すべき」と述べている。