-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
axiosに対するサプライチェーン攻撃、北朝鮮関連のアクターが関与の疑い
3月31日、人気のオープンソースソフトウェア開発ツールaxiosに対するサプライチェーン攻撃が発生。北朝鮮との関連が疑われるハッカーがaxiosのメンテナのnpmアカウントを侵害・ハイジャックし、リモートアクセス型トロイの木馬(RAT)を配布する有害バージョンのnpmパッケージを公開することに成功したという。
axiosは、1週間あたりのダウンロード数が約1億回を誇る人気のJavaScriptライブラリで、開発者らは自身のソフトウェアをインターネットに接続するためのツールとしてaxiosを利用している。
攻撃者は、axiosのアップデートをプッシュする権限を有していたメンテナのnpmアカウント(jasonsaayman)を侵害。このアカウントを利用して、悪意あるバージョンaxios@1.14.1およびaxios@0.30.4を公開したとされる。これらのバージョンでは、axiosのソースコードのどこにもインポートされていない新しい依存関係「plain-crypto-js@4.2.1」が挿入されている。その目的は、macOS・Windows・Linuxに対応したクロスプラットフォームのRATドロッパー(postinstallスクリプト)を実行するため。このドロッパーはC2サーバーと通信し、プラットフォームに合わせて次段階のペイロードを配布する役割を持つ。この役目を終えると、フォレンジック検出を避けるために自己削除し、package.jsonをクリーンなバージョンのものに置き換えるという。
悪意ある依存関係plain-crypto-js@4.2.1が有害axiosパッケージの公開より18時間前に用意されていたことや、3種のOSに対応する各ペイロードが事前に構築されていたこと、あらゆるアーティファクトが自己破壊可能な設計になっていたことなどを踏まえ、セキュリティ企業StepSecurityは、この攻撃が緻密な計画に基づいて行われており、機会主義的な性質のものではなかったとの見解を示している。
StepSecurityによれば、今回の攻撃のタイムラインは以下の通り:
- 3月30日14:57(日本時間):「nrwise@proton[.]me」により、「plain-crypto-js@4.2.0」が公開される。これは正規のcrypto-jsソースの完全なコピーを含む無害なデコイで、npm公開実績を作ることを目的としていた(公開履歴がゼロだとその後検証された際に怪しまれる恐れがあるため)。
- 3月31日08:59:「nrwise@proton[.]me」により、悪意あるペイロードが追加された「plain-crypto-js@4.2.1」が公開される。
- 3月31日09:21:侵害されたメンテナのアカウント「jasonsaayman」により、悪意ある「axios@1.14.1」が公開される。このアカウントのメールアドレスは攻撃者のもの(ifstap@proton[.]me)に変更されており、メンテナにとって自身のアカウントを取り戻すことが困難になっていた。
- 3月31日10:00:同じ侵害されたアカウント(jasonsaayman)により、もう1つの悪意あるバージョン「axios@0.30.4」が公開される。
- 3月31日〜12:15:npmがaxios@1.14.1およびaxios@0.30.4の公開を取り消し。両バージョンはレジストリから削除され、最新のdist-tagは1.14.0に戻された。axios@1.14.1は約2時間53分間、axios@0.30.4は約2時間15分間にわたって公開されていた。
- 3月31日12:25:npmはplain-crypto-jsに対してセキュリティホールドを開始し、悪意のあるパッケージをnpm security-holderのスタブに置き換えるプロセスを開始。
- 3月31日13:26:npmは、「npm@npmjs.com」アカウントの下でsecurity-holderのスタブである「plain-crypto-js@0.0.1-security.0」を公開し、レジストリ上の悪意のあるパッケージを正式に置き換え。悪意あるplain-crypto-js@4.2.1は、およそ4時間27分間にわたって公開されていた。
npmの措置により、現在では、いずれのバージョンのplain-crypto-jsのインストール試行に対しても、セキュリティ通知が返されるようになっているという。
何人のユーザーが悪意あるバージョンをダウンロードしてしまったかはわかっていない。ただ、本インシデントについて調査したAikido社は、有害コードをダウンロードしたすべての人が「自身のシステムは侵害されていると考えるべき」だと述べている。
同じくこのサプライチェーン侵害について調査を行っているGoogleがTechCrunchに伝えたところによると、同社はこの攻撃を北朝鮮との繋がりを持つ疑いのある脅威アクター「UNC1069(※)」によるものだろうと考えているという。Google 脅威インテリジェンスグループのチーフアナリストであるJohn Hultquist氏は、北朝鮮のハッカーらがサプライチェーン攻撃における豊富な経験を有していることに触れた上で、こうした攻撃はかねてより「暗号資産を盗み取るために使われてきた」とコメント。「このインシデントの完全な影響範囲はまだわかっていないものの、侵害されたパッケージの人気ぶりを考えると、かなり広く影響が広がるものと思われる」と指摘した。
加えて、Elastic Securityも本インシデントに関する解説記事の中で、plain-crypto-jsにより配布されるmacOS向けMach-Oバイナリが、UNC1069と関連づけられているC++バックドア「WAVESHAPER」とかなり重複していると記した。
StepSecurityやAikidoのブログ記事では、さらに詳しい解説やIoCが提供されている。
※UNC1069が関与したとされる過去の暗号資産関連の攻撃についてはこちらの記事で:
【Eブック無料配布中:Codebook 2025 ~サイバーセキュリティ分析レポート~】
Codebookの記事が、Eブックになりました。サイバーセキュリティの2025年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらから:
その他の無料配布中レポート
地政学レポート
【最新版】インテリジェンス要件定義に関するガイドブック
-300x200.png)
OSINT関連レポート
ディープ&ダークウェブレポート
