ディープ潮 TechFlow メッセージ。4月2日、VentureBeatの報道によると、攻撃者はJavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主任メンテナーのnpmアクセス・トークンを窃取し、そのトークンを使って、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を含む2つの悪意あるバージョン(axios@1.14.1および axios@0.30.4)を公開した。対象はmacOS、Windows、そしてLinuxの各システムに及ぶ。悪意あるパッケージはnpmレジストリ上で約3時間存続した後、削除された。セキュリティ企業Wizのデータによれば、Axiosの週次ダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在している。セキュリティ企業Huntressは、悪意あるパッケージの公開から89秒後には最初の感染を検知しており、露出(露出)ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認した。注目すべきことに、Axiosプロジェクトは以前、OIDCによる信頼できる公開メカニズムやSLSAのトレーサビリティ証明などの最新のセキュリティ対策をすでに導入していたが、攻撃者はそれらの防衛線を完全に回避した。調査により、プロジェクトはOIDCの設定を行う一方で、従来の長期有効な NPM\_TOKEN を依然として保持しており、npmは両者が共存する際にデフォルトで従来のトークンを優先していたため、攻撃者はOIDCを突破する必要なく公開を完了できたことが判明した。
Axiosライブラリがサプライチェーン攻撃を受け、ハッカーが盗まれたnpmトークンを利用してリモートトロイの木馬を仕込み、約80%のクラウド環境に影響を及ぼしました
ディープ潮 TechFlow メッセージ。4月2日、VentureBeatの報道によると、攻撃者はJavaScriptで最も人気のあるHTTPクライアントライブラリAxiosの主任メンテナーのnpmアクセス・トークンを窃取し、そのトークンを使って、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を含む2つの悪意あるバージョン(axios@1.14.1および axios@0.30.4)を公開した。対象はmacOS、Windows、そしてLinuxの各システムに及ぶ。悪意あるパッケージはnpmレジストリ上で約3時間存続した後、削除された。
セキュリティ企業Wizのデータによれば、Axiosの週次ダウンロード数は1億回を超え、約80%のクラウドおよびコード環境に存在している。セキュリティ企業Huntressは、悪意あるパッケージの公開から89秒後には最初の感染を検知しており、露出(露出)ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認した。
注目すべきことに、Axiosプロジェクトは以前、OIDCによる信頼できる公開メカニズムやSLSAのトレーサビリティ証明などの最新のセキュリティ対策をすでに導入していたが、攻撃者はそれらの防衛線を完全に回避した。調査により、プロジェクトはOIDCの設定を行う一方で、従来の長期有効な NPM_TOKEN を依然として保持しており、npmは両者が共存する際にデフォルトで従来のトークンを優先していたため、攻撃者はOIDCを突破する必要なく公開を完了できたことが判明した。