大規模なハッキングの発生
今週初め、マルウェアを用いたJavaScriptコードを狙った大規模なハッキングが発生し、Arkham Intelligenceのデータによると、暗号通貨からわずか1,043ドルが盗まれました。
攻撃の手法と影響
Wizのサイバーセキュリティ研究者は、昨日「広範囲にわたる」サプライチェーン攻撃の分析を発表し、悪意のある行為者が人気のJavaScript用コードパッケージの開発者であるQix(Josh Junon)のGitHubアカウントを制御するためにソーシャルエンジニアリングを使用したと述べました。
「攻撃者は、単一のパッケージや依存関係を侵害することで、一度に何千もの環境にアクセスできることに気づいた」と彼らは述べています。
ハッカーはこれらのパッケージのいくつかの更新を公開し、APIや暗号ウォレットインターフェースを起動する悪意のあるコードを追加しました。これにより、受取人のアドレスやその他の取引データが書き換えられる可能性がありました。
感染の広がりと影響
Wizの研究者は、10%のクラウド環境に悪意のあるコードのインスタンスが含まれていると結論付けています。99%のクラウド環境がハッカーが狙ったパッケージのいくつかを使用しているものの、すべてのクラウド環境が感染した更新をダウンロードしたわけではないと述べています。
悪用の潜在的な規模にもかかわらず、Arkhamの最新データによると、脅威行為者のウォレットはこれまでに比較的控えめな金額である1,043ドルを受け取っています。この金額は過去数日間で徐々に増加しており、主にERC-20トークンの転送を含み、個々の取引は1.29ドルから436ドルの範囲です。
さらなる悪用の拡大
同じ悪用はQixのnpmパッケージを超えて拡大しており、昨日JFrog Securityからの更新でDuckDB SQLデータベース管理システムが侵害されたことが明らかになりました。この更新はまた、悪用が「歴史上最大のnpmの侵害であるように見える」と示唆しており、攻撃の驚くべき規模と範囲を強調しています。
開発パイプラインの保護の必要性
Wizによると、最新の事件は開発パイプラインを保護する必要性を強化しており、組織はソフトウェアサプライチェーン全体の可視性を維持し、異常なパッケージの挙動を監視することが求められています。これは、Qixの悪用のケースで多くの組織や団体が行っていたことのようで、公開から2時間以内に検出されました。
「ペイロードは特定の条件を持つユーザーを狙うように狭く設計されており、これが影響範囲を減少させた可能性があります」と彼らは述べています。
Wizの研究者は、開発者がこのような脅威に対してより意識的であり、多くが重大な損害を引き起こす前に疑わしい活動をキャッチするための保護策を講じていると付け加えました。
「影響の報告が遅れる可能性は常にありますが、今日の時点で私たちが知っていることに基づくと、迅速な検出と排除の努力が攻撃者の成功を制限したようです。」
