サイバーニュース.jp

世界のサイバーなニュースを配信

ZapierのNPMアカウントがハッキング、425のパッケージにマルウェア「Shai Hulud」感染

カテゴリ:

概要

ZapierのNPMアカウントが侵害され、NPMエコシステム全体で425のパッケージに「Shai Hulud」マルウェアが注入されたことが判明しました。この攻撃は、サプライチェーンに深刻な脅威をもたらし、影響を受けたパッケージは月間合計約1億3200万回ダウンロードされています。AsyncAPI、ENS Domains、PostHog、Postman、そしてZapier自身を含む多くの著名な組織がこの被害に遭っています。

サプライチェーン攻撃の詳細

侵害されたパッケージには、@zapier/mcp-integration@posthog/nextjs@asyncapi/cli@postman/secret-scanner-wasmなど、広範囲で利用されているライブラリが含まれており、これらは本番環境や開発パイプラインに頻繁に統合されています。このインシデントは、開発サプライチェーンの脆弱性を浮き彫りにしています。

Shai Huludマルウェアの動作メカニズム

Aikido Securityの報告によると、Shai Huludマルウェアは自己増殖型ワームとして機能し、setup_bun.jsに埋め込まれたステージングメカニズムを利用して、依存パッケージに拡散します。パッケージのインストール時に実行されると、マルウェアは初期ステージングコードをbundleAssets関数に書き込み、Bunランタイム環境の検出またはダウンロードを試みます。成功すると、主要な悪性コンポーネントであるbun_environment.jsペイロードを実行します。

この伝播手法は、NPMのインストールプロセスとビルドパイプラインに関する高度な理解を示しています。マルウェアは、複数のシステムパスと構成でBunの利用可能性を確認し、不足している場合はインストールを試み、環境変数を操作して実行を確実にします。このマルチプラットフォームアプローチは、Windows、Linux、macOSシステムに影響を及ぼします。

情報漏洩と二次的被害

悪意のあるコードの実行に加え、Shai Huludは感染したシステムから機密性の高い資格情報とシークレットを抽出します。これらのシークレットは、ランダムな名前と一貫した説明「Sha1-Hulud: The Second Coming.」とともにGitHubリポジトリに自動的に公開されます。現在の分析では、約26,300のリポジトリで漏洩した資格情報が確認されており、脅威アクターにとって二次的な攻撃ベクトルとなっています。盗まれたAPIキー、認証トークン、その他のシークレットは、さらなる横展開、クラウドインフラへの不正アクセス、および接続されたサービスやアカウントの侵害を可能にします。

攻撃の背景と影響を受けた組織・パッケージ

攻撃インフラの分析により、脅威アクターによる重大なミスが明らかになりました。研究者たちは、一部の侵害されたパッケージには初期ステージングコード(setup_bun.js)が含まれているものの、対応するワームペイロード(bun_environment.js)がないことを発見しました。この不整合は、展開の不完全性または攻撃実行中の構成ミスに起因すると考えられます。これにより、攻撃全体の即時的な影響は一時的に限定されていますが、ステージングコード自体が永続化メカニズムを確立し、機能的なマルウェアペイロードでリモートから更新される可能性があるため、依然として大きなリスクを伴います。

主要な影響を受けたNPMパッケージ:

  • Zapier: @zapier/mcp-integration, @zapier/ai-actions, @zapier/zapier-sdk, zapier-platform-cli, zapier-platform-core
  • PostHog: @posthog/nextjs, posthog-python/client.py (PostHog Pythonクライアントライブラリ), @posthog/plugin-server, posthog-js, posthog-node
  • AsyncAPI: @asyncapi/cli, @asyncapi/generator, @asyncapi/parser
  • Postman: @postman/secret-scanner-wasm, @postman/postman-mcp-cli, @postman/pm-bin-linux-x64
  • ENS Domains: @ensdomains/ensjs, @ensdomains/ens-contracts

NPMコミュニティへの影響と推奨される対策

このインシデントは、一元化されたパッケージリポジトリが侵害される脆弱性、そしてサプライチェーンセキュリティの実践、依存関係管理、およびパッケージの整合性の継続的な監視の重要性を強調しています。NPMコミュニティおよび影響を受けたZapierパッケージを利用するすべての組織は、直ちに依存関係を監査し、検出対策を講じる必要があります。ユーザーは過去数時間のパッケージインストールを確認し、侵害された資格情報をローテーションし、予期せぬランタイムダウンロードやGitHubリポジトリ作成などの侵害の兆候を監視する必要があります。

元記事: https://gbhackers.com/zapiers-npm-account-hacked-multiple-packages-infected/

投稿をさらに読み込む