### 侵害されたバージョン **Socket**と**StepSecurity**は、**node-ipc**パッケージの3つの悪意のあるバージョンを特定しました。 * [email protected] * [email protected] * [email protected] これらのバージョンには、ホスト環境のフィンガープリントを取得し、ローカルファイルを列挙・読み取り、収集したデータを圧縮・チャンク化し、ペイロードを暗号化された封筒に包み、DNS/アドレスロジックを介して選択されたネットワークエンドポイント経由で流出を試みるように設計された、難読化されたステイラー/バックドアの動作が含まれています。 ### 秘密情報の流出 悪意のあるコードは、広範囲の開発者およびクラウドの秘密情報を外部のコマンド＆コントロール（C2）サーバーに流出しようとします。これには、**Amazon Web Services**、**Google Cloud**、**Microsoft Azure**、SSHキー、Kubernetesトークン、GitHub CLI設定、Claude AIおよびKiro IDE設定、Terraform状態、データベースパスワード、シェル履歴など、90以上のカテゴリの認証情報が含まれます。 収集されたデータはGZIPアーカイブに圧縮され、`sh.azurestaticprovider[.]net`ドメインに送信されます。 ### アカウントの侵害 侵害されたバージョンは、「atiertant」という名前のアカウントによって公開されました。このアカウントは、パッケージの元の作者である「riaevangelist」とは関連がありません。「atiertant」アカウントは、**node-ipc**パッケージに関連する以前の公開履歴がなかったため、アカウントの侵害またはメンテナーとしての悪意のある追加の可能性が示唆されます。 ### 技術的分析  NPMライフサイクルフックに依存する典型的な攻撃とは異なり、この攻撃は悪意のあるペイロードを即時実行関数式（IIFE）として`node-ipc.cjs`の末尾に追加します。これにより、`require('node-ipc')`時にマルウェアが無条件に実行されます。 バージョン12.0.1にはSHA-256フィンガープリントチェックが含まれており、ハードコードされたハッシュと比較されます。これは、12.0.1がプライマリモジュールパスがターゲットハッシュと一致するマシンでのみアクティブであることを意味します。9.xバージョンにはこのゲートがなく、ロードされたシステムで完全なペイロードが実行されます。 ### 検出回避技術 マルウェアは、ローカルのDNSベースのセキュリティをバイパスするためにシステムのDNSリゾルバを**Google** Public DNSで上書きした後、DNS TXTレコードを使用した二次的な流出チャネルを採用します。これは、`sh.azurestaticprovider.net`を1.1.1.1（プライマリ）または8.8.8.8（フォールバック）を使用して解決し、C2 IPを取得してから、すべての流出クエリに対してC2 IPのレゾルバを直接ターゲットにします。 この直接C2へのDNSシンクは、流出クエリがパブリックDNSリゾルバに到達しないため、企業のレゾルバを介したDNSロギングのみに依存する組織にとって検出不能なため、注目すべき検出回避技術です。 さらに、マルウェアは、親アプリケーションが終了した後でも流出が持続できるように、自身をデタッチされたバックグラウンドの子プロセスにフォークすることで、独立して実行を継続しようとします。 ### 影響 「このキャンペーンは、ソフトウェアサプライチェーン攻撃が単純な悪意のあるパッケージから、インフラストラクチャを認識した認証情報収集オペレーションへと進化していることを反映しています」と、**Upwind**のセキュリティリサーチリードであるAvital Harel氏は述べています。「攻撃者は、現代のソフトウェア配信パイプラインを支えるアイデンティティと自動化システムをますますターゲットにしており、通常の開発者およびアプリケーションの動作に溶け込むように特別に設計されたマルウェアを開発しています。」 ### 推奨事項 ユーザーは以下を行うことを推奨します。 * 侵害された**node-ipc**バージョンを削除し、既知のクリーンなバージョン（9.2.1および12.0.0）を再インストールしてください。 * 侵害されたと仮定し、認証情報と秘密情報をローテーションしてください。 * ローテーションされたトークンでアクセス可能なパッケージについて、NPM公開アクティビティを監査してください。 * ワークフロー実行ログをレビューして、疑わしいアクティビティがないか確認してください。 * 侵害されたウィンドウ中に認証情報が利用可能だったIAMアイデンティティによって実行された不正なアクションを確認するために、クラウドログを監査してください。 * C2ドメインへのエグレストラフィックをブロックしてください。