**Google**は、人気のAxios npmパッケージに対するサプライチェーン攻撃を、**UNC1069**として追跡されている金銭目的の北朝鮮の脅威活動クラスターに正式に帰属させました。 「私たちは、この攻撃をUNC1069として追跡している北朝鮮の脅威アクターによるものと特定しました」と、**Google** Threat Intelligence Group（GTIG）の主任アナリストであるJohn Hultquist氏はThe Hacker Newsに声明で述べました。 「北朝鮮のハッカーはサプライチェーン攻撃に深い経験を持っており、歴史的に仮想通貨を盗むためにそれらを使用してきました。このインシデントの全容はまだ不明ですが、侵害されたパッケージの人気を考えると、広範囲に影響が及ぶと予想されます。」 ### 攻撃の詳細 この展開は、攻撃者がパッケージメンテナーのnpmアカウントを乗っ取り、バージョン1.14.1および0.30.4の2つのトロイの木馬化されたバージョンをプッシュした後に起こりました。これらは「plain-crypto-js」という悪意のある依存関係を導入し、Windows、macOS、Linuxシステムに感染するクロスプラットフォームのバックドアを配布するために使用されました。 Axiosのコード変更を導入するのではなく、この攻撃は悪意のある依存関係の「package.json」ファイル内のpostinstallフックを利用して、ステルス実行を実現します。侵害されたAxiosパッケージがインストールされると、npmは自動的にバックグラウンドで悪意のあるコードの実行をトリガーします。 具体的には、「plain-crypto-js」パッケージは、SILKBELL（「setup.js」）と呼ばれる難読化されたJavaScriptドロッパーの「ペイロード配信車両」として機能し、被害者のオペレーティングシステムに基づいてリモートサーバーから適切な次のステージを取得します。 以前に詳述されたように、Windows実行ブランチはPowerShellマルウェアを配信し、macOSにはC++ Mach-Oバイナリ、LinuxシステムにはPythonバックドアを配信します。ドロッパーは、自身を削除し、postinstallフックのないクリーンなバージョンで「plain-crypto-js」パッケージの「package.json」ファイルを置き換えるためのクリーンアップも実行します。 <table><tbody><tr><td><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg"><img src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-INPXY0ZSI_LBYJhbmZyqamH1PQlfh5ZfryzZIPg0Nn_ojjuKO1XO2RHZn7PZfkSw_jIew5EJoEHmrcJD3P3a-KG1Q5C5ofTMzfU28IE_Jha5sGl8E1XRJRorEQZidf-i9QKCt7FP96GFKrl2aYRqghFIjzz3ihMXw9cuFRhVXgmuMbjOIF5vClUOsLTu/s1600/elastic.jpeg" data-original-width="1864" data-original-height="1168" alt=""></a></td></tr><tr><td>Image Source: **Elastic** Security Labs</td></tr></tbody></table> ### WAVESHAPER.V2 バックドア WAVESHAPER.V2とコードネームされたバックドアは、2018年から活動している**UNC1069**によって仮想通貨セクターを標的とした攻撃に展開されたWAVESHAPERの更新バージョンと評価されています。サプライチェーン攻撃と**UNC1069**との関連性は、機能の重複を引用して、**Elastic** Security Labsによって最初に指摘されました。 WAVESHAPER.V2の3つのバリアントは4つの異なるコマンドをサポートし、60秒間隔でコマンド＆コントロール（C2）サーバーにビーコンします。 * **kill**：マルウェアの実行プロセスを終了します。 * **rundir**：ディレクトリリスト、ファイルパス、サイズ、作成/変更タイムスタンプを列挙します。 * **runscript**：オペレーティングシステムに基づいてAppleScript、PowerShell、またはシェルコマンドを実行します。 * **peinject**：任意のバイナリをデコードして実行します。 「WAVESHAPER.V2は、以前はUNC1069に帰属されていたmacOSおよびLinuxバックドアであるWAVESHAPERの直接的な進化です」と、**Mandiant**とGTIGは述べています。「オリジナルのWAVESHAPERは軽量なバイナリC2プロトコルを使用し、コードパッキングを採用していますが、WAVESHAPER.V2はJSONを使用して通信し、追加のシステム情報を収集し、より多くのバックドアコマンドをサポートします。」 「これらのアップグレードにもかかわらず、両方のバージョンはコマンドライン引数を介して動的にC2 URLを受け入れ、同一のC2ポーリング動作と珍しいUser-Agent文字列を共有し、セカンダリペイロードを同一の一時ディレクトリ（例：/Library/Caches/com.apple.act.mond）に展開します。」 ### 北朝鮮への帰属 macOSバイナリが「Jain_DEV/client_mac/macWebT/macWebT」のような開発者のビルドパスを参照しているという事実は、北朝鮮との関連性をさらに強化します。研究者のGiuseppe Massaroによると、「macWebT」は2023年の**BlueNoroff**の「webT」モジュールとHidden Riskマルウェアキャンペーンに直接関連しています。 ### 緩和策 この脅威を緩和するために、ユーザーは侵害されたバージョンの依存関係ツリーを監査し（見つかった場合は安全なバージョンにダウングレード）、Axiosを「package-lock.json」ファイルで既知の安全なバージョンにピン留めして偶発的なアップグレードを防ぎ、「node_modules」で「plain-crypto-js」の存在を確認し、悪意のあるプロセスを終了し、C2ドメイン（「sfrclak[.]com」、IPアドレス：142.11.206[.]73）をブロックし、影響を受けたシステムを隔離し、すべての認証情報をローテーションすることが推奨されます。 「Axios攻撃は、一度きりのイベントではなく、テンプレートとして理解されるべきです。ここで文書化された運用上の洗練度、侵害されたメンテナーの認証情報、3つのオペレーティングシステム用に構築された事前ステージングされたペイロード、40分未満でヒットした両方のリリースブランチ、および組み込みのフォレンジック自己破壊機能は、スケーラブルな運用として計画した脅威アクターを反映しています」と、ReversingLabsの主任ソフトウェアアーキテクトであるTomislav Peričin氏はThe Hacker Newsに語りました。 「このキャンペーンが現在PyPIやNuGetに登場している場合、それは攻撃メカニクスがすでに示唆していることと一致しています。目標は開発者のリーチを最大化することでした。組織は、npm依存関係だけでなく、ビルドパイプラインに供給するすべてのパッケージマネージャーを監査し、影響を受けた環境で公開された秘密を、どのレジストリに触れたかに関わらず、侵害されたものとして扱う必要があります。」