北朝鮮関連の脅威アクターが人気のあるJavaScript HTTPクライアントであるAxios NPMパッケージをハイインパクトなソフトウェアサプライチェーン攻撃で侵害しました。この攻撃により、Windows、macOS、Linuxシステムに静かにバックドアが設置されます。
攻撃の概要
3月31日午前0時21分から3時20分までに、攻撃者はメンテナーアカウントを乗っ取り、NPMにバックドア付きAxiosリリース(バージョン1.14.1と0.30.4)をプッシュしました。また、攻撃者が制御するProtonMailアドレスにメールアドレスを変更し、新しい依存関係であるplain-crypto-js(バージョン4.2.1)を追加しました。
影響の範囲
AxiosはJavaScript HTTPクライアントで最も広く使用されており、影響を受けたバージョンは週間で数千万ダウンロードされています。これにより攻撃の影響範囲が拡大しています。
脅威アクター
Google Threat Intelligence Group (GTIG) はこの活動をUNC1069と関連付け、2018年から少なくとも活動していると報告しています。UNC1069は主に財務的な動機を持っています。
マルウェアの詳細
悪意のあるplain-crypto-jsパッケージには、npm installが実行された直後に実行されるpostinstallスクリプト(setup.js)のみが含まれています。このスクリプトは開発者のコードよりも先に実行され、CI/CDパイプラインや生産ビルドジョブ内でも動作します。
OS別展開
- Windows: powershell.exeをコピーし、%PROGRAMDATA%\