人気の**Axios** HTTPクライアントのメンテナーは、北朝鮮ハッカーに関連するソーシャルエンジニアリングキャンペーンについて詳細な事後分析を公開しました。 この攻撃は、攻撃者がメンテナーアカウントを侵害し、**Axios**の2つの悪意のあるバージョン（1.14.1および0.30.4）をnpmパッケージレジストリに公開し、サプライチェーン攻撃を引き起こしたことに続いています。 これらのリリースには`plain-crypto-js`という依存関係が注入され、macOS、Windows、Linuxシステムにリモートアクセス型トロイの木馬（RAT）がインストールされました。 悪意のあるバージョンは約3時間公開されていましたが、その後削除されました。しかし、その期間中にインストールしたシステムは侵害されたと見なすべきであり、すべての認証情報と認証キーはローテーションする必要があります。 **Axios**のメンテナーは、影響を受けたシステムをワイプし、すべての認証情報をリセットし、同様のインシデントを防ぐための変更を実施していると述べています。 **Google** Threat Intelligence Groupは、この攻撃を**UNC1069**として追跡されている北朝鮮の脅威アクターに関連付けています。 「GTIGは、この活動を、この脅威アクターが以前使用していたWAVESHAPERの更新バージョンであるWAVESHAPER.V2の使用に基づき、少なくとも2018年から活動している金銭目的の北朝鮮関連の脅威アクターであるUNC1069に帰属します」と**Google**は説明しています。 「さらに、この攻撃で使用されたインフラストラクチャアーティファクトの分析では、UNC1069が過去の活動で使用したインフラストラクチャとの重複が見られます。」 ## ソーシャルエンジニアリング攻撃の標的に 事後分析によると、侵害は数週間前にプロジェクトのリードメンテナーであるJason Saaymanに対する標的型ソーシャルエンジニアリング攻撃から始まりました。 攻撃者は正規の企業を装い、そのブランディングと創設者の肖像を模倣し、メンテナーをその企業を装った**Slack**ワークスペースに招待しました。Saayman氏によると、**Slack**サーバーにはリアルなチャンネルがあり、ステージングされたアクティビティと従業員や他のオープンソースメンテナーを装った偽のプロフィールがありました。 「その後、彼らは私を実際のSlackワークスペースに招待しました。このワークスペースは会社のCIにブランド化され、もっともらしい名前が付けられていました」とSaayman氏は事後分析への投稿で説明しました。 「Slackは非常によく考えられていました。彼らはLinkedInの投稿を共有するチャンネルを持っていました。LinkedInの投稿は、おそらく実際の会社のアカウントにアクセスするものだったのでしょうが、非常に説得力がありました。彼らは、会社のチームの偽のプロフィールだけでなく、他の多くのOSSメンテナーの偽のプロフィールも持っていました。」 その後、攻撃者は多数の人物が含まれているように見える**Microsoft Teams**での会議をスケジュールしました。 通話中、システム上の何かが古いという主張の技術的なエラーが表示され、メンテナーはエラーを修正するために**Teams**のアップデートをインストールするように促されました。しかし、この偽のアップデートは実際にはRATマルウェアであり、脅威アクターにメンテナーのデバイスへのリモートアクセスを許可し、**Axios**プロジェクトのnpm認証情報を取得できるようにしました。 他のメンテナーも同様のソーシャルエンジニアリング攻撃を報告しており、脅威アクターは偽の**Microsoft Teams** SDKアップデートをインストールさせようとしていました。 この攻撃は、被害者に偽のエラーメッセージが表示され、マルウェアを展開するトラブルシューティング手順に従うように促されるClickFix攻撃に似ています。 この攻撃は、**Google**の脅威インテリジェンスチームが報告した以前のキャンペーンとも類似しており、**UNC1069**として追跡されている北朝鮮の脅威アクターが、仮想通貨企業を標的とするために同じ戦術を使用していました。 **UNC1069**脅威アクターに帰属する以前のキャンペーンでは、脅威アクターはデバイスに追加のペイロードを展開していました。これには、認証情報、ブラウザデータ、セッショントークン、その他の機密情報を盗むように設計されたバックドア、ダウンローダー、インフォスティーラーなどが含まれていました。 攻撃者は認証済みセッションにアクセスできたため、MFA保護は効果的にバイパスされ、再認証なしでアカウントにアクセスできるようになりました。 **Axios**のメンテナーは、攻撃にはプロジェクトのソースコードの変更は含まれておらず、代わりに正規のリリースに悪意のある依存関係を注入することに依存していたことを確認しました。 人気の**Mocha**フレームワークを含む多数のオープンソースプロジェクトのメンテナーであるPelle Wessman氏は、**LinkedIn**に投稿し、同じキャンペーンで標的にされたことを明らかにし、ターゲットを騙してマルウェアをインストールさせるために使用された偽のRTC接続エラーメッセージのスクリーンショットを共有しました。  Wessman氏がアプリのインストールを拒否したところ、脅威アクターは彼にCurlコマンドを実行するように説得しようとしました。 「私がアプリを実行しないことが明らかになり、ウェブサイトとチャットアプリでやり取りした後、彼らは最後の必死の試みを行い、curlコマンドを実行して何かをダウンロードして実行するようにしようとしました。私が拒否すると、彼らは姿を消し、すべての会話を削除しました」とWessman氏は説明しました。 サイバーセキュリティ企業**Socket**も、これが人気のあるNode.jsプロジェクトのメンテナーを標的とし始めた協調的なキャンペーンであると報告しました。 広く使用されているパッケージのメンテナーやNode.jsコアコントリビューターを含む複数の開発者が、攻撃者が運営する**Slack**ワークスペースへの同様の連絡メッセージや招待状を受け取ったと報告しました。 **Socket**は、これらのメンテナーが毎週数十億回のダウンロードを持つパッケージを担当しており、脅威アクターが影響力の大きいプロジェクトに焦点を当てていたことを示していると指摘しました。 「axiosの侵害に関する最初の分析、その隠された影響範囲の詳細な分析、そしてメンテナーがソーシャルエンジニアリングであったことを確認したレポートを公開して以来、Node.jsエコシステム全体のメンテナーが、同じソーシャルエンジニアリングキャンペーンによって標的にされたと報告するために現れました」と**Socket**は説明しました。 「現在のアカウントは、npmレジストリとNode.jsコア自体で最も広く依存されているパッケージの一部を網羅しており、axiosが一度限りの標的ではなかったことを確認しています。それは、高い信頼性、高い影響力を持つオープンソースメンテナーを狙った、協調的でスケーラブルな攻撃パターンの一部でした。」 **Socket**によると、キャンペーンは一貫したパターンに従っており、脅威アクターはまず**LinkedIn**や**Slack**などのプラットフォームを通じて連絡を取り、その後受信者をプライベートまたはセミプライベートワークスペースに招待しました。 ターゲットとの関係を構築した後、脅威アクターはビデオ通話をスケジュールしました。これらは、場合によっては**Microsoft Teams**やその他のプラットフォームを装ったサイトを通じて実施されました。 これらの通話中、ターゲットにエラーメッセージが表示され、より良く機能する「ネイティブ」デスクトップソフトウェアをインストールするように促されたり、技術的な問題を修正するためのコマンドを実行するように促されたりしました。 同じ期間中にこれらのすべてのターゲットに対して使用された同じプレイブックは、これが一連の単発攻撃ではなく、協調的なキャンペーンであったことを示しています。 **Socket**の研究者は、これらの種類のサプライチェーン攻撃はますます一般的になっており、攻撃者は現在、広範な影響を与えるために広く使用されているパッケージに焦点を当てていると述べています。