概要
Microsoftは、最近のサプライチェーン侵害に関連する対策を共有しました。この侵害では、悪意のあるAxios npmリリースとインフラストラクチャが関与し、その背後には北朝鮮のサイバー攻撃者グループであるSapphire Sleetがいるとされています。
事件の詳細
3月31日、2つのAxios npmバージョン(1.14.1と0.30.4)に悪意のある依存関係が追加され、攻撃者のコマンド・アンド・コントロール(C2)インフラストラクチャに接続し、第二段階のリモートアクセストロイアン(RAT)をダウンロードしました。
このAxiosはJavaScript HTTPクライアントとして広く使用されており、開発者ワークステーションやCI/CDパイプライン、自動更新機能を持つ生産システムに影響を与える可能性があります。
攻撃の手法
攻撃者は最初に無害なリリースを配布し、その後悪意のあるリリースを追加しました。この悪意のあるリリースでは、インストール時に実行されるスクリプト(setup.js)と偽のマニフェストスタブが含まれていました。
攻撃者は通常のCIバックアップ公開プロセスや信頼されたパブリッシャー信号をスキップしてこれらのバージョンをリリースしました。npmインストール時にpost-installフックがnode setup.jsを実行し、OSプラットフォームを特定します。
Microsoftの対策
Microsoftは既存のMicrosoft Defender検出機能を使用して顧客にこの活動を警告するとともに、悪意のあるコンポーネントとC2パターンを検出しブロックする追加保護を展開しました。
組織への対策
- Axios 1.14.1または0.30.4をインストールしたユーザーは、すべての公開されたシークレットと資格情報を更新し、安全なバージョン(1.14.0または0.30.3)にダウングレードする必要があります。
- npmの自動アップグレード機能をオフにする。
- C2パターンや悪意のあるコンポーネントを検出しブロックする追加保護を展開。