概要
高プロファイルのサプライチェーン侵害事件であるAxiosパッケージの侵害に続いて、セキュリティ研究者は、主要なNode.jsおよびnpmメンテナを標的とした高度に組織化されたソーシャルエンジニアリングキャンペーンが発見されたと確認しました。
背景
Axiosの侵害は、グローバルソフトウェアサプライチェーンへの侵入を目的とするスケーラブルな操作の一環でした。脅威アクターは、基本的なオープンソースパッケージに書き込みアクセスを持つ開発者を探し、信頼されたメンテナを通じてマルウェアを配布しています。
標的となった人物
- Sock CEOのFeross Aboukhadijeh氏
- Lodashの創設者John-David Dalton氏
- Fastifyの主要メンテナMatteo Collina氏
- dotenvパッケージのScott Motte氏
- Node.jsコアコラボレーターJean Burellier氏
- エコシステム寄与者Wes Todd氏とPelle Wessman氏
攻撃手法
脅威アクターは、LinkedInやSlackを通じて連絡を開始し、合法的なリクルーター、マーケティングエージェンシー、またはポッドキャストホストとして偽の企業パーソナリティ(例:「Openfort」)を装います。彼らはプロフェッショナルなコーポレート行動を行い、ビデオ会議を慎重にスケジュールし直すことで、ターゲットを無害化し、信頼の偽りの感覚を確立します。
攻撃の流れ
- LinkedInやSlackを通じて連絡を開始する。
- ビデオ会議プラットフォームに誘導し、Microsoft TeamsやStreamyardを模倣した偽サイトへ。
- 技術的に信憑性のあるエラーメッセージを表示。
- 開発者にネイティブアプリケーションのダウンロードまたはターミナルコマンドの実行を促す。
攻撃結果
被害者がこれらの指示に従うと、マルウェアが静かにマシンにインストールされ、標準的なセキュリティ対策(2要素認証など)を完全にバイパスします。
脅威アクターの背景
セキュリティ研究者Tay氏は、SocketからUNC1069と呼ばれる疑わしい北朝鮮の脅威グループがこれらの高度な操作を実施していると指摘しました。このグループは長年にわたって暗号通貨創業者やベンチャーキャピタリストを標的としていました。
今後の対策
開発者は、SlackのヒュッデルやAI生成ビデオパーソナリティなどのプラットフォームを使用する脅威アクターが継続的に戦術を進化させる可能性があるため、高い警戒心を持つことが求められます。
結論
開発者のマシンの侵害は、世界中の数百万の企業サービスに対する直接的な攻撃であり、共同認識が最も強力な防御手段であると専門家は警告しています。
元記事: https://gbhackers.com/hackers-launch-social-engineering-offensive-against-key-node-js/