概要
ハッカーは、npmアカウントのAxiosの主要メンテナを乗っ取りました。これを利用して、macOS、Windows、Linuxシステム向けにクロスプラットフォームリモートアクセストロイアン(RAT)を静かにインストールする2つの悪意のあるリリースを公開しました。
Axiosパッケージの乗っ取り
ハッカーは、3月30日から31日にかけて、npmアカウントのメンテナ用に盗まれた資格情報を使用して、悪意のあるバージョンaxios 1.14.1と0.30.4を公開しました。
悪意のあるAxiosビルド
これらの悪意のあるAxiosビルドは、plain-crypto-js@^4.2.1という新しい依存関係を導入し、これはAxiosのソースコードには存在せず、実行時にインポートされることはありません。これにより、典型的な「phantom dependency」が作成され、インストール時の副作用のみのために追加されました。
被害と対応
- 自動npmセキュリティスキャナーは、悪意のあるAxiosバージョンを公開された直後に迅速に警告し、npm管理者が侵害されたパッケージを取り除き、関連するトークンを無効化しました。
- 被害を受けた組織の多くは政府、金融、医療、技術、製造業など多岐にわたりました。
Axiosの正常なリリースプロセス
Legitimate Axios 1.x releases are normally published via GitHub Actions using npm’s OIDC Trusted Publisher, cryptographically tying the npm package to a verified CI workflow. In contrast, axios 1.14.1 and 0.30.4 were pushed manually using a stolen npm access token tied to the maintainer account, with no trustedPublisher metadata and no gitHead, leaving no corresponding commit, tag, or release in the GitHub repo.
マルウェアの展開と削除
悪意のあるパッケージのsetup.jsスクリプトは、ホストプラットフォームを特定し、HTTPコマンド&コントロールURLを作成します。その後、各OSに合わせてRATをダウンロードおよび実行します。
対策と防御
- Axiosの安全なバージョン(1.14.0や0.30.3)へのピンニング
- plain-crypto-jsの削除
- 影響を受けたシステムを既知の良好イメージから再構築
- すべての公開されたシークレットの回転
まとめ
この攻撃は、ソフトウェアサプライチェーン侵害、スクリプトのオブファスケーション、マスカレイド、ファイルレスPowerShell、および反証拠隠滅などのMITRE ATT&CKテクニックを活用した高度な計画と技術力を示しています。