Last Updated on 2024-07-10 08:17 by admin
JavaScript開発者を狙った複雑で持続的なサプライチェーン攻撃が発生し、人気のJavaScriptライブラリjQueryのトロイの木馬化されたパッケージがGitHub、Node Package Manager (npm)、jsDelivrリポジトリを通じて配布されています。
これらのパッケージには、jQueryのコピーが含まれており、jQueryプロトタイプのend関数が変更され、追加の悪意のあるコードが含まれています。このコードは、ウェブサイトのフォームデータを抽出し、多数のURLに送信するように設計されています。
Phylum Research Teamによると、攻撃者は5月26日以降、npm、GitHub、jsDelivrで多数の悪意のあるjQueryパッケージを拡散しています。
これまでに約68のパッケージが発見されており、パッケージ名はjquery.min.jsなどのバリエーションがあります。攻撃者はnpmで新しいユーザーネームを使用してパッケージを公開しています。
また、ほとんどのパッケージには、npmキャッシュフォルダーやnpmログフォルダー、termux.propertiesファイルなど、npmの公開物には通常含まれない個人ファイルも含まれています。
この攻撃は、そのアドホックな性質とパッケージのカスタム変動性、長い時間をかけて公開されたことから、手動で組み立てられ、公開されたと推測されます。
マルウェアが実行されるには、ユーザーが悪意のあるパッケージをインストールし、含まれるトロイの木馬化されたjQueryファイルを使用し、end関数またはfadeTo関数を呼び出す必要があります。
この攻撃は、コードリポジトリを利用したサプライチェーン攻撃の増加により、オープンソースコミュニティだけでなく、開発プロジェクトで使用されるコードを開発者に配布する前にスキャンすることを組織に促しています。
Phylumの研究者は、開発者が悪意のあるパッケージのインストールを避けるために、関連するキャンペーンのパッケージ名、公開日、公開したユーザー名のリスト、およびキャンペーンに関連するドメインの長いリストをブログ投稿に含めました。
【編集者追記】用語解説
- トロイの木馬:
コンピューターセキュリティの文脈では、正当なソフトウェアを装って侵入する悪意のあるプログラムを指します。名称は古代ギリシャの木馬の故事に由来しています。 - npm(Node Package Manager):
JavaScriptの開発者がパッケージ(ライブラリやツール)を共有・利用するためのプラットフォームです。Node.jsと共に広く使われています。 - CDN(Content Delivery Network):
ウェブコンテンツを高速で配信するための分散型ネットワークシステムです。jsDelivrはこの一種で、特にJavaScriptライブラリの配信に特化しています。 - jQuery:
ウェブサイトの開発を簡素化するための人気の高いJavaScriptライブラリです。多くのウェブサイトで使用されています。 - Phylum:
今回の脆弱性を発見したセキュリティ企業です。オープンソースソフトウェアのセキュリティに特化しています。
【参考リンク】
Phylum(セキュリティ企業)オフィシャルサイト(外部)
「Fake jQuery files infect WordPress sites with malware」
※説明:WordPressサイトを狙った類似の攻撃について解説した英語記事です。jQueryを悪用した攻撃の実例を知ることができます。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
【ニュース解説】
JavaScript開発者を対象とした複雑で持続的なサプライチェーン攻撃が発生し、人気のJavaScriptライブラリであるjQueryのトロイの木馬化されたパッケージがGitHub、Node Package Manager (npm)、jsDelivrリポジトリを通じて配布されていることが明らかになりました。これらのパッケージは、jQueryのコピーを含んでおり、特にjQueryプロトタイプのend関数が変更されて追加の悪意のあるコードを含むようになっています。このコードは、ウェブサイトのフォームデータを抽出し、特定のURLに送信することを目的としています。
この攻撃は、5月26日以降に多数の悪意のあるjQueryパッケージがnpm、GitHub、jsDelivrで拡散されていることがPhylum Research Teamによって発見されました。これまでに約68のパッケージが特定されており、パッケージ名にはjquery.min.jsやregistration.min.js、icon.min.js、fontawesome.jsなどのバリエーションがあります。攻撃者は、npmで新しいユーザーネームを使用してこれらのパッケージを公開しています。また、ほとんどのパッケージには、npmキャッシュフォルダーやnpmログフォルダー、termux.propertiesファイルなど、npmの公開物には通常含まれない個人ファイルも含まれています。
この攻撃の特徴は、そのアドホックな性質とパッケージのカスタム変動性、長い時間をかけて公開されたことから、手動で組み立てられ、公開されたと推測される点です。マルウェアが実行されるには、ユーザーが悪意のあるパッケージをインストールし、含まれるトロイの木馬化されたjQueryファイルを使用し、end関数またはfadeTo関数を呼び出す必要があります。
このような攻撃は、コードリポジトリを利用したサプライチェーン攻撃の増加を示しており、オープンソースコミュニティだけでなく、組織にも警戒を促しています。開発プロジェクトで使用されるコードを開発者に配布する前にスキャンすることが推奨されます。Phylumの研究者は、開発者が悪意のあるパッケージのインストールを避けるために、関連するキャンペーンのパッケージ名、公開日、公開したユーザー名のリスト、およびキャンペーンに関連するドメインの長いリストを提供しています。
この攻撃は、開発者や組織にとって、使用するライブラリやパッケージの安全性を確認する重要性を再認識させるものです。また、サプライチェーン攻撃の複雑さと潜在的な影響範囲が広がっていることを示しており、セキュリティ対策の強化と警戒の継続が必要です。このような攻撃は、開発プロセス全体にわたってセキュリティを組み込むことの重要性を強調しており、開発者、組織、そしてオープンソースコミュニティ全体が協力して対策を講じることが求められています。
from Trojanized JQuery Packages Spread via ‘Complex’ Supply Chain Attack.