npmサプライチェーンを脅かす新たな攻撃

GitLabのセキュリティチームは、世界最大級のコードライブラリであるnpmを介して拡散する深刻なマルウェア攻撃を発見しました。この攻撃は、恐るべき「デッドマンズスイッチ」と呼ばれる自己破壊トリガーを使用しており、攻撃が阻止された場合にユーザーデータを消去すると脅迫しています。

セキュリティ研究者は、「Shai-Hulud」と名付けられた破壊的なマルウェアを含む複数の感染パッケージを特定しました。このマルウェアは、一般的なマルウェアとは異なり、ワームのように拡散し、侵害された開発者が所有する他のソフトウェアパッケージを自動的に感染させます。最も警戒すべき点は、マルウェアが通信チャネルを遮断された場合、被害者のファイルを破壊するという危険な機能を備えていることです。

GitLabは、「当社は悪意のあるパッケージを使用していないことを確認した」と述べつつ、広範なセキュリティコミュニティに対し、この活発な脅威について警告しています。

攻撃の仕組み

マルウェアは、偽装されたインストールスクリプトを通じてシステムに侵入します。開発者が感染したパッケージをインストールすると、setup_bun.jsというファイルが自動的に実行されます。これは正規のプログラミングツール「Bun」をインストールするように見せかけますが、実際には10メガバイトに及ぶ難読化されたファイルに隠された悪意のあるコードを起動します。

一度起動すると、マルウェアは被害者のコンピューターからGitHubアクセストークン、AmazonおよびMicrosoftのクラウド認証情報、npm公開パスワードなど、貴重な機密情報を検索します。さらに、ファイルをスキャンし、git履歴から隠されたAPIキーを探し出すために、セキュリティスキャンツールまでダウンロードします。

盗まれた認証情報は、説明文に「Sha1-Hulud: The Second Coming」というフレーズが記載された、特別にマークされたGitHubリポジトリにアップロードされます。これらのリポジトリは、盗まれたデータの安全な保管場所として機能します。巧妙なことに、感染したマシンが十分なアクセス権を持たない場合でも、他の侵害されたシステムによって作成されたGitHubリポジトリを検索し、そこからトークンを取得することで、自己維持型の犯罪ネットワークを形成します。

盗まれたnpm認証情報を使用し、マルウェアは被害者が管理するすべてのパッケージに感染し、悪意のあるコードを注入して再公開します。これにより、感染は指数関数的に拡大します。

危険なデッドマンズスイッチ

この攻撃の最も恐ろしい要素は、破壊的なペイロードです。マルウェアはGitHubとnpmに到達可能かどうかを継続的にチェックします。もし両方のプラットフォームへのアクセスを同時に失った場合（これはプラットフォームが攻撃を検知して停止した場合に発生する可能性があります）、マルウェアは即座に破壊活動をトリガーします。

Windowsコンピューターでは、すべてのユーザーファイルを削除し、ハードドライブを上書きしようとします。LinuxおよびMacシステムでは、削除前にファイルをランダムなデータで上書きするため、回復はほぼ不可能になります。

これは悪夢のようなシナリオを生み出します。もしGitHubやnpmがリポジトリを削除したり、侵害されたトークンを無効にしたりして攻撃を停止しようとすると、何千もの感染マシンが同時にユーザーのデータを破壊する可能性があるのです。この攻撃は、サプライチェーンの危険性において新たなレベルを示しています。単にデータを盗むだけでなく、ユーザーファイルを人質に取り、攻撃インフラが中断された場合に破壊を脅迫しているのです。

npmパッケージを使用する開発者には、不審な活動がないかシステムを監視し、すべての認証情報を直ちにC変更するよう強く求められています。GitLabは、侵害されたパッケージの全容を把握するため、調査を継続しています。

---

元記事: https://gbhackers.com/dead-mans-switch-triggers-massive-npm-supply-chain-attack/