Malicious NPM Package Caught Mimicking Material Tailwind CSS Package
2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。
ReversingLabs のセキュリティ研究者である Karlo Zanki は、「悪意の Material Tailwind npm パッケージは、有益な開発ツールを装っているが、自動ポスト・インストール・スクリプトを持っている」と、The Hacker News と共有したレポートの中で述べている。
このスクリプトは、パスワードで保護された ZIP アーカイブ・ファイルをダウンロードするように設計され、その中には PowerShell スクリプトを実行する Windows 実行ファイルが含まれる。
この、material-tailwindcss という名の不正なパッケージは、現在までに 320回ダウンロードされており、そのすべてが 2022年9月15日以降に発生している。
この脅威は、オリジナルのパッケージが提供する機能を、模倣するために十分な注意を払っている。その一方で、悪意の機能を導入するために、インストール後のスクリプトを悪用するという、最近の一般的な戦術をとっている。
具体的に言うと、リモートサーバから取得した ZIP ファイルに Windows バイナリを埋め込み、そのペイロードを診断ユーティリティに見せかけるために “DiagnosticsHub.exe” という名前が付けられているようだ。
この実行ファイルには、C2/通信/プロセス操作および、スケジュールされたタスクによる永続性の確立を担う Powershell コード・スニペットが含まれている。
この Material Tailwind モジュールは、npm/PyPI/RubyGems などのオープンソース・ソフトウェア・リポジトリを標的する、大量のマルウェア攻撃リストの中で、最も新しいものである。
この攻撃は、ソフトウェア・サプライチェーンを攻撃の対象とするものであり、攻撃者が悪意のコードを配布することで、複数のプラットフォームや企業環境を一度に破壊し、連鎖的に影響を与えることができるため、注目されるようになっている。
このサプライチェーンの脅威を受け、米国政府は連邦政府機関に対して、安全なソフトウェア開発基準に準拠したソフトウェアのみを使用し、すべてのサードパーティ・ソフトウェアについて自己認証を得ることを指示する、メモを公開している。
先週にホワイトハウスは、「ソフトウェアの完全性を確保することは、連邦政府のシステムを脅威や脆弱性から守り、サイバー攻撃によるリスク全体を軽減するための鍵である」 と述べている。
9月21日の「オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機」と、「PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響」に続いて、また、オープンソース・リポジトリ関連のトピックです。ホワイトハウスが指摘するように、ここにサイバー攻撃によるリスク全体を軽減するための鍵があります。水源が、じわじわと汚染されていく状況なのだと思います。
IoT OT Security News 
You must be logged in to post a comment.