Shai-HuludマルウェアによるNPM生態系の大規模サプライチェーン攻撃とその対策

最近、NPM生態系で大規模なサプライチェーン攻撃が発生し、187以上の人気パッケージが影響を受けました。この攻撃は自己伝播可能な高度なマルウェアを使って行われ、自動で資格情報を収集する機能を備えています。この事件は、サイバー犯罪者が「ワーム」のようなマルウェアを作成し、ソフトウェアのサプライチェーンを自律　的に拡散させていることを示しています。

攻撃は複数のパッケージ管理者のアカウントを侵害することから始まりました。攻撃者は管理者のアカウントを通じてマルウェアを注入し、パッケージを感染させました。特に、この攻撃の危険性は、マルウェアがNPM生態系で自己伝播できる点にあります。マルウェアはpackage.jsonファイルを自動で修正し、正常な管理者資格でトロイの木馬化されたバージョンを再配布します。

このマルウェアは「Shai-Hulud」と呼ばれ、開発者環境で資格情報を見つけ出し、GitHubに保存する機能を持っています。また、TruffleHogというオープンソースの資格情報スキャニングツールを使用して露出した秘密を系統的に検索し、この過程でクラウド環境のメタデータエンドポイントを標的にしてクラウドサービス資格情報を抽出します。

攻撃はCrowdStrikeのnpmネームスペースにある複数のパッケージにまで影響を及ぼしました。CrowdStrikeは即座に悪性パッケージを削除し、公開レジストリのキーを回転させました。CrowdStrikeのFalconセンサーは今回の攻撃に影響を受けず、顧客は依然として保護されていると発表しました。

今回の攻撃は、攻撃者が現代の開発慣行とインフラに適応していることを示しています。マルウェアは自動伝播、包括的な資格情報収集、クラウドネイティブ環境の悪用を組み合わせてサプライチェーン攻撃能力を大幅に向上させました。特に開発者環境を標的にすることで、権限の高いユーザーや複数のシステム、リポジトリ、クラウド環境にアクセスでき、感染時の潜在的な影響を最大化します。

開発者と組織は、同様のサプライチェーン攻撃と自動資格情報収集を防ぐために、次のような措置を取るべきです。パッケージロックファイルを使用して予期しないバージョン更新を防ぎ、重要なアプリケーションのために個人NPMレジストリを実装し、管理者アクセス資格情報を定期的に監査および回転させ、すべてのコミットに対して必須のセキュリティスキャニングを実施することが必要です。サプライチェーン攻撃がますます自動化され精巧になる中、積極的なセキュリティ対策と包括的なモニタリングが不可欠です。