大手ソフトウェア企業JFrog(ジェイフロッグ)は、npmレジストリーにおける重大なセキュリティー侵害を報告した。悪意のある攻撃者が、広く使用されている18個のパッケージのトロイの木馬化されたバージョンを公開することでレジストリを侵害した。これは、フィッシング攻撃によって開発者トークンを入手することで達成された。侵害されたパッケージには、「debug」、「chalk」、「ansi-styles」といった人気のパッケージが含まれていた。攻撃者は、「javascript-obfuscator」ライブラリーを使って難読化されたペイロードを注入したが、このペイロードには暗号通貨窃取マルウェアが含まれていた。
このマルウェアは、XMLHttpRequestクラスのメソッドを独自のメソッドに置き換えることで、Web3トラフィックを監視できるように設計されていた。対応ネットワーク上でトランザクションを検出すると、リクエストを傍受し、受信者のアドレスを攻撃者が管理するアドレスに置き換える。これにより、資金は実質的に窃盗犯のウォレットにリダイレクトされる。このマルウェアは、Ethereum、Bitcoin、Tron、Solanaなど、さまざまなネットワーク上のトランザクションを検出することができた。
攻撃は広範囲に及んだにもかかわらず、実際の被害は最小限にとどまった。攻撃者は既知の難読化ツールを不適切に使っていたため、悪意のあるバージョンが公開された直後に検知された。関連ウォレットのブロックチェーン分析により、この攻撃で盗まれた暗号通貨は約500ドルにとどまったことが明らかになった。しかし、攻撃の範囲は大きく、npm史上最も広範囲に及んだサプライチェーン攻撃となった。侵害されたパッケージは250万回以上ダウンロードされ、全バージョンを合わせると合計20億回ダウンロードされている。
JFrogは、感染したパッケージの最初のバッチに続いて、duckdbを含むさらに多くの侵害されたアカウントを特定した。これは、このキャンペーンが依然として活動していることを示している。このインシデントは、コードベースの大部分が単一の開発者によって保守されている単一行のユーティリティに依存しているという、現代のJavaScriptエコシステムの脆弱性を浮き彫りにしている。JFrogは引き続き状況を監視し、新たな情報が入り次第、最新情報を提供していく。
出典:JFrog
この製品の詳細については、JFrog製品ページをご覧ください。
