🛡 概要
2023年9月14日、NPMエコシステムにおいて180以上のパッケージが影響を受ける新たなサプライチェーン攻撃が発生しました。この攻撃は自己複製型のマルウェアを使用し、開発者の秘密を盗み出し、それらをGitHubに公開するという手法を取っています。攻撃者は40以上の開発者アカウントを侵害し、700以上の悪意のあるパッケージバージョンをNPMレジストリに公開しました。この事件はLoka社のDaniel dos Santos Pereiraによって9月15日に警告されましたが、攻撃自体は前日から始まっていました。
🔍 技術詳細
Shai-Hulud攻撃は、攻撃者が侵害した開発者のアカウントを利用して、悪意のあるポストインストールスクリプトを挿入したパッケージを配布します。このスクリプトは、TruffleHogという秘密スキャンツールを呼び出し、環境変数やIMDSに公開されたクラウドキーを収集します。また、GitHubのトークンを検出すると、公にリポジトリを作成し、秘密情報をそこにダンプします。攻撃はLinuxとmacOS環境をターゲットにしており、Windowsマシンは意図的にスキップされます。CVEやCVSSの記載はありませんが、攻撃の自己複製機能が確認されており、侵害されたパッケージが新たなトークンを見つけると、自動的に悪意のあるバージョンを公開します。
⚠ 影響
Shai-Hulud攻撃の結果、GitHub上で278の秘密が公開され、その中にはローカルマシンから収集された90の情報と、悪意のあるワークフローを通じて侵害された188の情報が含まれます。影響を受けたパッケージには、@ctrl/tinycolorやngx-bootstrapなどがあり、これらは数百万のダウンロードを記録しています。攻撃は、s1ngularity攻撃で知られる被害者をターゲットにしており、攻撃者は複数のバリエーションを用意して、常に攻撃の手法を改善しています。特に、公開された秘密が悪用され続けているため、今後数日間はこの攻撃が続く可能性があります。
🛠 対策
ユーザーは、NPM上で新しいバージョンが公開されているがGitHubには存在しないパッケージに注意を払い、依存関係を固定することが推奨されます。また、GitHubアカウントで新しいリポジトリやブランチが作成されていないか確認し、Shai-HuludやShai-Hulud Migrationと名付けられた公的リポジトリが存在しないか調査することが重要です。万が一、侵害の兆候が見られた場合は、GitHubやNPMのトークン、SSHおよびAPIキー、環境変数の秘密を無効化し、再発行する必要があります。これにより、さらなる感染を防ぎ、システムの安全性を確保することができます。
