未知の脅威アクターが、複雑で持続的なサプライチェーン攻撃の一環として、npm、GitHub、jsDelivrのコードリポジトリにトロイの木馬化されたjQueryのバージョンを拡散していることが発見された。
この攻撃は、パッケージ間の高い変動性によって際立っている。攻撃者は、jQueryのあまり使用されない「end」関数にマルウェアを巧妙に隠し、これはより人気のあるアニメーションユーティリティの「fadeTo」関数によって内部的に呼び出される。
キャンペーンに関連するパッケージは68までリンクされており、これらは2024年5月26日から6月23日にかけてnpmレジストリにcdnjquery、footersicons、jquertyi、jqueryxxx、logoo、sytlesheetsなどの名前で公開された。
これらの偽パッケージは、公開されたパッケージの数、命名規則の違い、個人ファイルの含有、そして長い期間にわたってアップロードされたことなどから、手動で組み立てられて公開されたと推測される。
これは、攻撃者がパッケージの作成と公開に関与する自動化の要素を強調する定義済みのパターンに従う他の一般的に観察される方法とは異なる。
Phylumによると、悪意のある変更は「end」という関数に導入され、脅威アクターがウェブサイトのフォームデータをリモートURLに抽出することを可能にした。
さらなる調査で、トロイの木馬化されたjQueryファイルが「indexsc」というアカウントに関連するGitHubリポジトリにホストされていることが判明した。
同じリポジトリには、修正されたバージョンのライブラリを指すスクリプトを含むJavaScriptファイルも存在する。
jsDelivrは、CDNに何もアップロードすることなく自動的にこれらのGitHub URLを構築するため、攻撃者がソースをより正当に見せる試みであるか、jsDelivrを使用することで直接GitHubからコードをロードするのではなくファイアウォールを通過しようとする試みである可能性が高いとPhylumは述べている。
【編集者追記】用語解説
- npm (Node Package Manager):
JavaScriptの開発者がプログラムやライブラリを共有・利用するためのプラットフォームです。料理のレシピ集のようなもので、開発者が必要な「材料」(ライブラリやツール)を簡単に見つけて利用できます。 - GitHub:
ソフトウェア開発のためのプラットフォームで、開発者がコードを共有・管理できる場所です。オンラインの共同作業スペースのようなもので、多くの人が同時に1つのプロジェクトに取り組むことができます。 - jsDelivr:
ウェブサイトやアプリケーションで使用するファイルを高速に配信するサービスです。世界中に配置されたサーバーを使って、ユーザーに最も近い場所からファイルを提供します。 - jQuery:
JavaScriptを使いやすくするためのツールキットです。複雑な作業を簡単に行えるようにする魔法の杖のようなものです。
【参考リンク】
npm (Node Package Manager)(外部)
GitHub(外部)
jsDelivr(外部)
jQuery(外部)
トロイの木馬化されたjQueryパッケージの詳細解説(外部)
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
最近、npm、GitHub、jsDelivrといったコードリポジトリにおいて、トロイの木馬化されたjQueryのバージョンが拡散されていることが発見されました。この攻撃は、複雑で持続的なサプライチェーン攻撃の一例として注目されています。特に、攻撃者はjQueryのあまり使われない「end」関数にマルウェアを隠し込み、これがより一般的に使用される「fadeTo」関数によって内部的に呼び出されることを利用しています。この攻撃により、68個のパッケージが影響を受けており、これらは2024年5月26日から6月23日にかけて、さまざまな名前でnpmレジストリに公開されました。
この攻撃の特徴は、偽のパッケージが手動で組み立てられ、公開された点にあります。これは、攻撃者が自動化されたパターンに従うのではなく、個々のパッケージに手を加えていることを示しています。悪意のある変更は「end」という関数に導入され、これにより脅威アクターはウェブサイトのフォームデータをリモートURLに抽出することが可能になりました。
この攻撃の影響は、開発者や企業にとって非常に深刻です。第一に、信頼されているライブラリのトロイの木馬化は、ウェブアプリケーションのセキュリティを根本から揺るがすものです。開発者が使用する外部ライブラリの安全性が保証できない場合、アプリケーション全体のセキュリティが危険にさらされます。また、この攻撃は、サプライチェーン攻撃の脅威がいかに巧妙で、避けがたいものであるかを示しています。
ポジティブな側面としては、このような攻撃が発見されることで、開発者や企業はセキュリティ対策の重要性を再認識し、より安全なコードの使用や外部ライブラリの検証に力を入れるようになるかもしれません。しかし、潜在的なリスクとしては、このような攻撃が今後も増加する可能性があり、特にオープンソースのライブラリを利用する際には、常にセキュリティリスクを考慮する必要があります。
規制に与える影響としては、このような攻撃を受けた後、ソフトウェアのサプライチェーンのセキュリティに関する規制や基準が強化される可能性があります。また、開発者や企業に対して、使用するライブラリの安全性を確認するためのガイドラインが提供されるかもしれません。
将来への影響としては、サプライチェーン攻撃の脅威に対する認識が高まり、セキュリティ対策がより一層強化されることが期待されます。また、開発者や企業は、外部ライブラリを使用する際に、その安全性をより慎重に評価するようになるでしょう。長期的には、より安全なソフトウェア開発のための新たなツールやプラクティスが開発される可能性があります。
from Trojanized jQuery Packages Found on npm, GitHub, and jsDelivr Code Repositories.
