高度に難読化された悪意のある Python および JavaScript コードを含む XNUMX つのパッケージが、今週、Node Package Manager (npm) リポジトリで発見されました。
によると、 レポート
Kaspersky から、悪意のあるパッケージは「Volt Stealer」および「Lofy Stealer」マルウェアを拡散し、被害者から Discord トークンやクレジット カード情報などの情報を収集し、時間をかけてスパイ活動を行います。
Volt Stealer を使用して盗む 不和トークン 感染したコンピューターから人々の IP アドレスを収集し、HTTP 経由で悪意のあるアクターにアップロードします。
新たに開発された脅威である Lofy Stealer は、Discord クライアント ファイルに感染し、被害者の行動を監視できます。 たとえば、マルウェアは、ユーザーがログインしたり、電子メールやパスワードの詳細を変更したり、多要素認証 (MFA) を有効または無効にしたりすることを検出します。 また、ユーザーがいつ新しい支払い方法を追加したかを監視し、完全なクレジット カードの詳細を収集します。 収集された情報は、リモート エンドポイントにアップロードされます。
パッケージ名は「small-sm」、「pern-valids」、「lifeculer」、「proc-title」です。 npm はそれらをリポジトリから削除しましたが、既にそれらをダウンロードした開発者のアプリケーションは脅威のままです。
Discord トークンのハッキング
盗まれた Discord トークンは、被害者の友人に対するスピア フィッシングの試みに利用できるため、Discord をターゲットにすることで多くのリーチが得られます。 しかし、Fortinet の FortiGuard Labs でチーフ セキュリティ ストラテジスト兼グローバル脅威インテリジェンス担当バイス プレジデントを務める Derek Manky 氏は、マルチメディア コミュニケーション プラットフォームの使用状況に応じて、当然のことながら、攻撃対象領域は組織によって異なると指摘しています。
「これらのベクトルに関連する攻撃面に関するこれらの概念により、脅威レベルは、過去に見られたような Tier 1 の発生 (Log4j など) ほど高くはありません」と彼は説明します。
Discord のユーザーには、この種の攻撃から身を守るためのオプションがあります。
これは、ユーザー プロファイル、ネットワーク セグメンテーションなどに従って、Discord を適切に使用するためのポリシーを設定することを意味します。
npm がソフトウェア サプライ チェーン攻撃の標的とされる理由
npm ソフトウェア パッケージ リポジトリには、11 万人を超えるユーザーがおり、ホストしているパッケージの数百億回のダウンロードがあります。 これは、経験豊富な Node.js 開発者と、他のアクティビティの一部として気軽に使用する人々の両方によって使用されています。
オープン ソースの npm モジュールは、Node.js の運用アプリケーションと、他の方法では Node.js を使用しないアプリケーションの開発者ツールの両方で使用されます。 開発者がうっかりして悪意のあるパッケージを取り込んでアプリケーションを構築すると、そのマルウェアはそのアプリケーションのエンド ユーザーを標的にする可能性があります。 したがって、このようなソフトウェア サプライ チェーンへの攻撃は、個々の企業を標的とするよりも少ない労力でより多くのリーチを提供します。
プロバイダー コード セキュリティ ソリューションである BluBracket の製品および開発者イネーブルメントの責任者である Casey Bisson は、次のように述べています。
Npm は、多数のターゲットに攻撃ベクトルを提供するだけでなく、ターゲット自体がエンド ユーザーを超えて拡張される、と Bisson 氏は言います。
「企業と個々の開発者の両方が、平均人口よりも多くのリソースを持っていることが多く、開発者のマシンまたは企業システムで橋頭堡を獲得した後の横方向の攻撃も、一般的にかなり実り多いものです」と彼は付け加えます。
コンテナーのセキュリティと可観測性のプロバイダーである Tigera の上級セキュリティ研究者である Garwood Pang 氏は、npm は JavaScript の最も人気のあるパッケージ マネージャーの XNUMX つを提供していますが、誰もがその使用方法に精通しているわけではないことを指摘しています。
「これにより、開発者はオープン ソース パッケージの膨大なライブラリにアクセスしてコードを強化できます」と彼は言います。 「しかし、使いやすさとリストの量のために、経験の浅い開発者は知らないうちに悪意のあるパッケージを簡単にインポートできます。」
ただし、悪意のあるパッケージを特定するのは簡単なことではありません。 Synopsys Cybersecurity Research Center のプリンシパル セキュリティ ストラテジストである Tim Mackey 氏は、典型的な NodeJS パッケージを構成する膨大な数のコンポーネントについて言及しています。
「同じ問題に対して多くの異なる正当な解決策がある場合、機能の正しい実装を特定できるようにすることは困難です」と彼は言います。 「他のコンポーネントから参照される可能性のある悪意のある実装を追加すると、選択したコンポーネントが箱に記載されているとおりに動作し、望ましくないコンポーネントが含まれていないか、参照されていないかどうかを誰もが判断するのが難しいレシピが得られます。機能性。」
npm を超えるもの: 増加するソフトウェア サプライ チェーンへの攻撃
主要なサプライ チェーン攻撃には、 重大な影響 ソフトウェア セキュリティの認識と意思決定に加え、攻撃面の監視のためにより多くの投資が計画されています。
Mackey は、特にショッピング カートや開発ツールなどのフレームワークを標的とする攻撃を見ると、ソフトウェア サプライ チェーンが常に標的であると指摘しています。
「私たちが最近見ているのは、これまでマルウェアまたはデータ侵害として分類されていた攻撃が、実際には、組織が作成および使用しているソフトウェアに対する組織の信頼を損なうものであるという認識です」と彼は言います。
Mackey はまた、ベンダーによって作成されたソフトウェアはすべてそのベンダーによって作成されたと多くの人が想定していると述べていますが、実際には、最も単純なソフトウェアでさえ、何百ものサードパーティ ライブラリが存在する可能性があります。 Log4jの大失敗.
「これらのライブラリは事実上、アプリケーションのソフトウェア サプライ チェーン内のサプライヤーですが、特定のサプライヤーを使用するという決定は、機能の問題を解決する開発者によって下されたものであり、ビジネス リスクに焦点を当てたビジネスマンによって下されたものではありません」と彼は言います。
そのため、実装を求める声が高まっています ソフトウェア部品表 (SBOM). そして、XNUMX 月には MITRE 打ち上げ
ソフトウェアを含むサプライ チェーン全体のリスクとセキュリティ上の懸念を定義および定量化する、情報通信技術 (ICT) のプロトタイプ フレームワーク。
