Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ

Two NPM Packages With 22 Million Weekly Downloads Found Backdoored

2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ2つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。

問題となった2つのライブラリは、コマンドライン・オプションのパーサーである「coa」と、コンフィギュレーション・ローダーである「rc」で、いずれも正体不明の脅威アクターにより改ざんされ、パスワード窃取マルウェアが組み込まれてしまった。

11月4日に公開された GitHub アドバイザリによると、coa の 2.0.3 以降の全バージョン(2.0.3/2.0.4/2.1.1/2.1.3/3.0.1/3.1.3) が影響を受けている。それらのバージョンのユーザーは、可能な限り早急に 2.0.2 にダウングレードし、不審な動きの有無のチェックが推奨されている。同様に、rc の バージョン 1.2.9/1.3.9/2.3.9 にもマルウェアが混入していることが確認され、バージョン 1.2.8 へのダウングレードを促す警告が発出されている。

今回発見されたマルウェアは、認証情報やパスワードを盗む Windows マルウェア DanaBot の亜種であることが判明した。NPM は、「この種の攻撃からユーザーアカウントやパッケージを保護するために、NPM アカウントで2要素認証を有効にすることを強く推奨する」とツイートしている。

Node.js に関しては、9月13日の「Node.js NPM の Proxy Auto-Configuration パッケージに深刻な脆弱性が発見される」と、6月12日の「Codecov サイバー侵害の後に Bash Uploader から NodeJS への乗り換えが完了」がアップされています。また、「アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない?」では、脆弱性が放置されている状況が解説されています。なかなか解消されない問題の1つですね。

%d bloggers like this: