恥ずかしがり屋のHuludは、JavaScriptエコシステムを席巻しました... NPMによる自律的な拡散

JavaScript開発エコシステムを狙った悪意のあるコード「沙虫(Shai Hulud)」が進化し続けており、ソフトウェアサプライチェーン攻撃のレベルがさらに向上していることが確認されました。最新の分析によれば、この悪意のあるコードは以前のように単に個別のソフトウェアパッケージに侵入するだけでなく、開発者を無意識のうちに感染を持続的に広める媒介に変える能力を持ち、自動拡散の仕組みを備えています。

安全専門会社Expelが公開した報告によると、最近の変種のサンドワームは、自動的に開発者環境に感染し、彼らが管理するnpmレジストリを通じて再拡散する構造を持っています。この悪意のあるコードは、インストール段階でウイルスを埋め込んだnpmパッケージを実行し、感染プログラムを2段階で行います。まず、ターゲット環境に"Bun"JavaScriptランタイムがインストールされていない場合、自動的にインストールされます。次に、複雑に難読化されたペイロードを通じて、バックグラウンドで認証情報の窃取、データ漏洩、再感染を誘導します。

今回のバリエーションで特に注目すべきは、その資格情報収集方法が非常に巧妙であることです。それは、AWS Secrets Manager、Microsoft Azure Key Vault、Google Cloud Secret Managerなどの主要なクラウドインフラストラクチャの秘密管理システムに直接アクセスして、追加の方法で機密データを抽出することを採用しています。ローカルシステム自体でもNPMリリーストークン、GitHub認証情報、さらにはクラウドキーを完全に収集することが確認されています。このプロセスで使用されるツールはTruffleHogであり、これはソースコード、設定ファイル、Gitの履歴などからハードコーディングされた秘密情報を自動的に検索するツールです。

サンドワームの最も典型的な戦術は、GitHubインフラストラクチャを悪用することです。以前の悪意のあるコードが(C2)サーバーにコマンドコントロールを接続する方法とは異なり、この悪意のあるコードは盗まれた情報を公開リポジトリにアップロードし、感染したデバイスをGitHub Actionsのセルフホストランナーとして登録します。これにより、外部からのリモートアクセスが継続的に可能になり、攻撃者は感染した開発者のアカウントを武器にして、他のパッケージに悪意のあるコードを注入し、変更されたバージョンを自動的にnpmに再登録することによって感染を拡大します。

報告によると、現時点で推定される感染したリポジトリは2.5万を超え、影響を受けたパッケージは数百に達しています。その中にはオープンソースコミュニティでも広く使用されている人気ツールが含まれています。

Expelによるこのケースの警告から、ソフトウェアサプライチェーンの「信頼層」はもはや安全圏ではなくなった。サンドワームはJavaScriptエコシステムを攻撃したが、Python(PyPI)、Ruby(RubyGems)、PHP(Composer)など、同様の信頼基盤を持つ他の言語コミュニティも同様の攻撃にさらされる可能性が高い。開発ツールエコシステムをターゲットにした自主的拡散型マルウェアの出現は、今後より持続的で広範な脅威を引き起こす可能性があるため、警戒が必要である。