Source: https://www.darkreading.com/application-security/self-replicating-shai-hulud-worm-npm-packages
🛡 概要
最近、自己複製型マルウェア「Shai-hulud」がオープンソースソフトウェアのコンポーネントに感染し、認証情報を盗むとともに他のコンポーネントに感染を広げています。このマルウェアは、Duneの砂虫から名前を取ったと考えられ、数百のオープンソースソフトウェアパッケージに広がっています。ReversingLabsの分析によると、Shai-huludは9月15日に初めて検出され、その後急速に広がりました。
この攻撃は、開発者QixのNPMアカウントがハッキングされた事件と類似しており、攻撃者はQixが管理する18の人気アプリケーションのバージョンを汚染し、暗号通貨を盗むマルウェアを仕込むことに成功しました。今回のキャンペーンが同様の運命を辿るかは不明ですが、初期の兆候は懸念されます。
🔍 技術詳細
Shai-huludは情報を盗むマルウェアで、感染したコンポーネントを利用して汚染されたバージョンを公開し、その後被害者のNPMアカウントを収穫します。ReversingLabsによると、このワームは侵害されたコンポーネントから始まり、そのコンポーネントがソフトウェアパッケージの開発に使用されると、無防備なユーザーがその汚染されたソフトウェアをダウンロードした際に起動します。マルウェアはユーザーの環境内のシークレットやトークン、認証情報を狙います。
「NPM開発者アカウントが侵害されると、ワームは開発者が管理する他のパッケージを探し、それらのパッケージに自己を注入して新しいバージョンを作成します。」とReversingLabsのリサーチャーKarlo Zankiは述べています。このサイクルは無限に続き、ワームは新たな開発者を探し、さらに感染を広げます。最初の感染源は「rxnt-authentication」というパッケージである可能性が高いとされています。
⚠ 影響
Shai-huludのキャンペーンは、数百のNPMパッケージに影響を及ぼしており、その影響を受けるのは多岐にわたります。ReversingLabsは、リポジトリの移行機能を利用して、約700の影響を受けたリポジトリを特定しました。影響を受けるのは、テクノロジー企業の創業者やCTO、ソフトウェア開発サービスを提供する企業、非営利団体の開発者、ギャンブル用ハードウェアやソフトウェアを開発する企業のテックリード、AI中心の企業の開発者などです。
開発者は、自分が影響を受けているかどうかを確認するために、NPMユーザーアカウントのアクティビティページを訪れ、「Shai-Hulud Migration」という説明が付いた新しいリポジトリを探し、「shai-hulud」という名前の新しいブランチを検索することができます。
🛠 対策
Shai-huludのキャンペーンは、Qixの事件よりも危険であると、ReversingLabsのチーフソフトウェアアーキテクトTomislav Peričinは述べています。攻撃者がどのように漏洩したシークレットを悪用するかは不明であり、次に何をするかも分からないからです。セキュリティコミュニティが迅速に動けば、ワームを抑え込む可能性があります。攻撃のノイズが大きいため、漏洩したシークレットはすぐにローテーションされる可能性があります。
開発者は、迅速な対策を講じることで、ワームの感染拡大を防ぐことができます。もし攻撃が続く場合、早期の対応が感染サイクルを断ち切るチャンスとなるでしょう。
