サプライチェーン攻撃で悪意のあるワームが暗号通貨ドメインを侵害

セキュリティ企業のAikidoは、11月24日にShai-Hulud自己複製型npmワームの第2波かつ大規模な攻撃を検知し、AsyncAPI、PostHog、Postman、Zapier、ENSなどの主要エコシステムにわたる492のパッケージを侵害し、月間合計1億3200万回のダウンロードに影響を与えました。この攻撃は、npmがレガシー認証トークンを失効させる12月9日の期限直前の数週間を悪用しました。このワームはBunランタイムをインストールし、TruffleHogを使用して開発者環境から秘密情報を検索し、盗まれた認証情報を公開リポジトリに公開します。重要な進化として、マルウェアが盗まれた認証情報を使用してGitHubまたはnpmでの認証に失敗した場合、ユーザーのホームディレクトリ内のすべてのファイルを消去するという破壊的なペイロードが追加されました。証拠は、攻撃者がnpmトークンを単にハイジャックするのではなく、AsyncAPIのCLIリポジトリなどのソースリポジトリへの書き込みアクセス権を取得したことを示唆しています。Aikidoは、26,300以上のGitHubリポジトリが攻撃者によってマークされた漏洩した認証情報を含んでいると推定しています。緩和策には、影響を受けるエコシステムの依存関係の監査、すべてのシークレットのローテーション、およびCIパイプラインでのnpmのpostinstallスクリプトの無効化が含まれます。

(出典：CryptoSlate)