JavaScript ライブラリ Axios に対する大規模なサプライチェーン攻撃は、北朝鮮の攻撃者によって実行された疑いがあります。毎週 1 億回以上ダウンロードされる Axios では、ノード パッケージ マネージャー アカウントが侵害され、plain-crypto-js という名前の悪意のある依存関係の導入が可能になりました。
依存関係の侵害されたバージョンは数時間以内に削除されました。しかし、Axios が広範に採用されているため、多くのユーザーが汚染されたバージョンをダウンロードした可能性があるという懸念が生じています。 Google Threat Intelligence Group (GTIG) の研究者は、この悪意のある依存関係が、Windows、Linux、および Mac 環境に Waveshaper.v2 と呼ばれるバックドアをインストールする難読化されたドロッパーであることを特定しました。
GTIG は、この攻撃は少なくとも 2018 年から活動していた UNC1069 として知られるグループによるものであると考えています。Waveshaper.v2 は、以前は同じグループに関連付けられていたバックドアの新しいバージョンとして報告されています。さらにソフォスは、この攻撃をニッケル・グラッドストーンとして知られる北朝鮮を拠点とするハッカーと関連付けています。
GTIGの首席アナリスト、ジョン・ハルトクイスト氏は「北朝鮮のハッカーはサプライチェーン攻撃について豊富な経験を持っており、歴史的に仮想通貨を盗むために利用してきた」と述べた。同氏は、侵害されたパッケージの人気により重大な影響が生じる可能性があることを強調しました。
GTIG の主任脅威アナリストである Austin Larsen 氏は、[email protected] または [email protected] をダウンロードした人は、誤ってバックドア ペイロードを実行した可能性があると警告しました。この警告は、インシデントの最初の検出後に LinkedIn に投稿されました。
この攻撃を発見したステップ セキュリティは、これを計画的な侵害であると説明しました。この悪意のある依存関係は、月曜日の展開の 18 時間前にステージングされ、Axios の両方のリリース ブランチが互いに 39 分以内に汚染されました。
攻撃者は当初、プライマリメンテナ jasonsaayman の npm アカウントを侵害し、登録された電子メールを攻撃者が制御する ProtonMail アドレスに変更しました。 Step Security は、悪意のあるアーティファクトが自己破壊するように設定されていることを明らかにし、事件の巧妙化に対する懸念を引き起こしました。
研究者らは、この攻撃を、主要な npm パッケージに対する「これまでに記録された中で最も運用が洗練されたサプライ チェーン攻撃」の 1 つであると特徴付けています。 Huntress の John Hammond 氏は、Axios に依存するさまざまな組織に対する潜在的な下流影響について懸念を表明しました。
「Node.js や JavaScript ソフトウェアを使用している組織は、侵害された Axios コンポーネントに依存する可能性があるため、その影響全体は動的であり、まだ解明されていません」とハモンド氏は述べています。
このインシデントはサプライ チェーン攻撃の最近の傾向の一部であり、Aqua Security のオープンソース ツールである Trivy などの他の標的も含まれていますが、これも TeamPCB という別の攻撃者によって侵害されました。
Mandiant Consultingの最高技術責任者(CTO)であるCharles Carmakal氏は、最近のサプライチェーン攻撃により何千もの認証情報が盗まれたと指摘し、さらなるSaaS侵害、ランサムウェア、暗号通貨強盗などの差し迫った脅威について警告した。
