innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

警報:npmパッケージが開発者のSSHキーを盗む!

警報:npmパッケージが開発者のSSHキーを盗む! - innovaTopia - (イノベトピア)

Last Updated on 2024-07-04 08:39 by admin

【ダイジェスト】

オープンソースのパッケージマネージャーであるnpmに、開発者のSSHキーを盗み出す悪意のあるパッケージが発見されました。この問題は、ソフトウェアサプライチェーンのセキュリティを専門とするReversingLabsが発見したもので、特に「warbeast2000」と「kodiak2k」という2つのパッケージが関与しています。

これらのパッケージは月初に公開され、それぞれ412回と1,281回ダウンロードされた後、npmのメンテナーによって削除されました。最後のダウンロードは2024年1月21日に記録されています。これらのパッケージは、インストール後に実行されるpostinstallスクリプトを含んでおり、このスクリプトは2つの異なるJavaScriptファイルを取得して実行するように設計されています。

warbeast2000はプライベートSSHキーにアクセスしようと試みる一方で、kodiak2kは「meow」という名前のキーを探すように設計されており、これは開発の初期段階で攻撃者がプレースホルダー名を使用していた可能性を示唆しています。セキュリティ研究者のLucija Valentić氏によると、「この悪意のあるスクリプトは、/.sshディレクトリにあるid_rsaファイルに保存されているプライベートSSHキーを読み取り、Base64エンコードされたキーを攻撃者がコントロールするGitHubリポジトリにアップロードします」とのことです。

kodiak2kの後続バージョンでは、EmpireポストエクスプロイトフレームワークをホストするアーカイブされたGitHubプロジェクトからスクリプトを実行することが確認されており、このスクリプトはプロセスメモリから認証情報をダンプするためのMimikatzハッキングツールを起動する能力を持っています。

Valentić氏は、「このキャンペーンは、サイバー犯罪者や悪意のあるアクターが、開発組織やエンドユーザー組織をターゲットにした悪意のあるソフトウェアサプライチェーンキャンペーンを支援するために、オープンソースのパッケージマネージャーや関連インフラを利用している最新の例です」と述べています。

このようなサイバーセキュリティの脅威は、開発者や組織にとって深刻な問題となっており、ソフトウェアのサプライチェーンを守るためには、常に警戒を怠らず、信頼できるソースからのみパッケージをダウンロードするなどの対策が求められます。また、セキュリティ対策を強化し、不正なアクセスや情報漏洩を未然に防ぐための取り組みが、今後もますます重要になってくるでしょう。

【ニュース解説】

オープンソースのパッケージマネージャーであるnpmで、開発者のSSHキーを盗む悪意のあるパッケージが見つかりました。この問題は、ソフトウェアサプライチェーンのセキュリティを専門とするReversingLabsによって発見されました。特に「warbeast2000」と「kodiak2k」という2つのパッケージが関与していることが明らかになりました。

これらのパッケージは月初に公開され、それぞれ412回と1,281回ダウンロードされた後、npmのメンテナーによって削除されました。最後のダウンロードは2024年1月21日に記録されています。これらのパッケージには、インストール後に実行されるpostinstallスクリプトが含まれており、このスクリプトは2つの異なるJavaScriptファイルを取得して実行するように設計されています。

warbeast2000はプライベートSSHキーにアクセスしようと試み、kodiak2kは「meow」という名前のキーを探すように設計されています。これは攻撃者が開発の初期段階でプレースホルダー名を使用していた可能性を示唆しています。セキュリティ研究者のLucija Valentić氏によると、悪意のあるスクリプトはユーザーのホームディレクトリ内の.sshフォルダにあるid_rsaファイルからプライベートSSHキーを読み取り、Base64エンコードして攻撃者がコントロールするGitHubリポジトリにアップロードするとのことです。

kodiak2kの後続バージョンでは、EmpireポストエクスプロイトフレームワークをホストするアーカイブされたGitHubプロジェクトからスクリプトを実行することが確認されており、このスクリプトはプロセスメモリから認証情報をダンプするためのMimikatzハッキングツールを起動する能力を持っています。

Valentić氏は、サイバー犯罪者や悪意のあるアクターが、開発組織やエンドユーザー組織をターゲットにした悪意のあるソフトウェアサプライチェーンキャンペーンを支援するために、オープンソースのパッケージマネージャーや関連インフラを利用していると述べています。

このようなサイバーセキュリティの脅威は、開発者や組織にとって深刻な問題となっており、ソフトウェアのサプライチェーンを守るためには、常に警戒を怠らず、信頼できるソースからのみパッケージをダウンロードするなどの対策が求められます。また、セキュリティ対策を強化し、不正なアクセスや情報漏洩を未然に防ぐための取り組みが、今後もますます重要になってくるでしょう。

from Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 警報:npmパッケージが開発者のSSHキーを盗む!

Latest News