Axios npmの侵害は標的型ソーシャルエンジニアリング攻撃によるもの

概要

Axios npmパッケージの最近の侵害が、標的型ソーシャルエンジニアリング攻撃によるものであることが確認されました。この事件は開発者に悪意のあるコードを一時的に公開し、オープンソースソフトウェアサプライチェーンにおけるリスクの増大を示しています。

3月31日、攻撃者はnpmにAxiosの2つの悪意のあるバージョンを公開しました。これらのバージョンには、macOS、Windows、Linuxシステムで動作するリモートアクセストロイアン（RAT）をデプロイする隠れた依存関係が含まれていました。

AxiosのメンテナJason Saaymanは、GitHubでの議論を通じて、この侵害が巧妙で標的型ソーシャルエンジニアリングキャンペーンによるものであることを明らかにしました。攻撃者は、正当な企業を装って連絡を取り、信頼関係を構築するための複数のステージを経ました。

被害：攻撃者はSaaymanに悪意のあるインストールを実行させ、システムへのリモートアクセスを獲得しました。これにより、npmおよびGitHubアカウントの完全なコントロールが得られました。
対応：Saaymanはデバイスをクリーンアップし、資格情報を更新し、ハードウェアセキュリティキーと改善されたパブリッシュワークフローを導入しました。

Axiosの事件は、個々のオープンソースメンテナに対する増大する圧力と、ソフトウェアサプライチェーンセキュリティにおける人間の層への攻撃の重要性を強調しています。技術的な防御だけでなく、メンテナに対するより強いサポートシステムが必要であることが示されています。

Axiosの侵害は、コードが信頼される規模で攻撃者が人間の層を標的とする傾向があることを再確認しています。オープンソースエコシステムのセキュリティには技術的な防御だけでなく、メンテナに対する支援も必要です。

元記事: https://gbhackers.com/axios-npm-compromise/