Red Hat公式NPMチャンネルでバックドア攻撃発生
原題: Dozens of Red Hat packages backdoored through its official NPM channel
なぜ重要か
オープンソースソフトウェアのサプライチェーン攻撃が深刻化し、企業のセキュリティ対策強化が急務となっている
セキュリティ企業Aikidoによると、Red Hatの公式NPMアカウント@redhat-cloud-servicesが侵害され、30以上のパッケージにマルウェアが仕込まれた。攻撃は月曜日から続いており、GitHubトークンやKubernetesの認証情報などを窃取し、他のマシンに拡散する仕組み。
Red Hatの公式NPMチャンネル@redhat-cloud-servicesが侵害され、悪意のあるワームを含む30以上のパッケージが配布されたとセキュリティ企業AikidoとSocketが発表した。この攻撃は月曜日に開始され、記事執筆時点でも継続している。攻撃者は正規のRed Hatクラウドサービス向けチャンネルの制御権を取得し、開発者に広く信頼されているこのチャンネルを悪用した。マルウェアはnpm installプロセス中に実行される難読化されたペイロードを含み、開発者がパッケージを本格的に使用する前の段階で動作する。Socketの分析によると、このマルウェアはGitHubアクションのシークレット、npmトークン、Kubernetes認証情報、Vault素材、その他のクラウドサービス認証情報を収集するよう設計されている。ワームはShai-Huludと命名され、先月オープンソースとして公開されたマルウェアの特徴を持つ。TeamPCPが最初にこのワームを使用し、最大規模のサプライチェーン攻撃を実行したハッカーに1000ドルを支払うコンペティションを開催していた。感染システムは認証情報を暗号化してWeb経由で送信し、フォールバック機能により侵害されたGitHubリポジトリにデータを公開する。