Checkmarx は、NPM パッケージを通じて開発者を標的とする未知の攻撃者を警告します

2023年8月30日07:00 EDT更新

ダンカン・ライリー著

アプリケーションセキュリティテスト会社 Checkmarx Ltd. の研究者は本日、NPM パッケージを利用して開発者をターゲットにしてソースコードと秘密を盗む、これまで知られていなかった攻撃者について詳しく説明しました。

この脅威アクターは 2021 年から活動していると考えられていますが、現在まで検出されておらず、悪意のある NPM パッケージを公開しています。悪意のあるパッケージは、ソースコードや設定ファイルなどの機密データを被害者のマシンから抜き出すことを目的として設計されました。

脅威アクターが使用する悪意のあるパッケージはそれぞれ、インストール時に自動的に実行されるように設計されています。各 NPM パッケージには、package.json、preinstall.js、index.js という 3 つのファイルが含まれており、これらは攻撃プロセスの一部として使用されました。

悪意のあるパッケージをインストールすると、package.json ファイルで定義されたインストール後のフックによって preinstall.js スクリプトがトリガーされ、このスクリプトは「spawn:」と呼ばれるメソッドを使用して、index.js という名前の別のファイルを開始します。

Index.js が別のプロセスとして実行される場合、メインのインストールプロセスが完了した後でも、独立して動作し続けます。 Index.js スクリプトは、現在のオペレーティングシステムのユーザー名と作業ディレクトリを収集し、この情報を HTTP GET リクエストで事前定義されたサーバーに送信します。

次に、悪意のあるコードは、感染したマシン上のディレクトリを調べ、.env、.gitlab、.github などの特定のディレクトリと、.asp、.js、.php などの拡張子を持つファイルをターゲットにします。その後、コードは検出されたディレクトリを圧縮し、読み取り不可能なディレクトリや既存の .zip ファイルを回避してから、事前定義された FTP サーバーへのアーカイブのアップロードを試みます。

悪意のある NPM ファイルで分析されたメタデータによると、作成者の名前は「lexi2」です。 lexi2 への他の参照を検索すると、2021 年に遡る追加の悪意のあるパッケージも見つかりました。

研究者らは、「悪意のあるパッケージの最新バッチを削除するという事後対応策は、一時的な救済のみであり、問題の根本には到達しない」と結論付けた。「これらの容赦ない脅威から身を守るには、より洗練された戦略が必要です。」

研究者らはまた、メタデータの共有と攻撃者の追跡が、短期的な修正を超えて攻撃者の行動とパターンの継続的な監視と分析を掘り下げる広範なセキュリティアプローチにとって不可欠であると指摘した。

ありがとう

Checkmarx は、NPM パッケージを通じて開発者を標的とする未知の攻撃者を警告します

メタ、中国政府のプロパガンダキャンペーンに関連する数千のアカウントを削除

古いものを排除し、新しいものを取り入れる: AI が Google Cloud Next の物語を形作る

マンディアント氏、ハッカーは依然としてバラクーダ電子メールセキュリティゲートウェイデバイスをターゲットにしていると警告

ボックスの株価は、利益の幅が狭かったことと弱いガイダンスを報告したため下落した

多国籍対策本部が大量発生した Qakbot マルウェアとボットネット運用を阻止

Checkmarx は、NPM パッケージを通じて開発者を標的とする未知の攻撃者を警告します

セキュリティ - ダンカン・ライリー著。 1分前

メタ、中国政府のプロパガンダキャンペーンに関連する数千のアカウントを削除

ポリシー - ジェームズ・ファレル著。 9時間前

古いものを排除し、新しいものを取り入れる: AI が Google Cloud Next の物語を形作る

クラウド – マーク・アルバートソン著。 9時間前

マンディアント氏、ハッカーは依然としてバラクーダ電子メールセキュリティゲートウェイデバイスをターゲットにしていると警告

セキュリティ - ダンカン・ライリー著。 10時間前

ボックスの株価は、利益の幅が狭かったことと弱いガイダンスを報告したため下落した

クラウド - マイク・ウィートリー著。 10時間前

多国籍対策本部が大量発生した Qakbot マルウェアとボットネット運用を阻止

セキュリティ - ダンカン・ライリー著。 11時間前