Rogue npm Package Deploys Open-Source Rootkit in New Supply Chain Attack
2023/10/04 TheHackerNews — npm パッケージ・レジストリで新種の偽装パッケージが発見され、r77 と呼ばれるオープンソースの rootkit が配布されていたことが判明した。問題のパッケージは、”node-hide-console-windows” であり、正規の npm パッケージ “node-hide-console-window” を模倣する、典型的なタイポスクワッティング・キャンペーンの事例となる。このパッケージは、削除されるまでの2ヶ月間に、704回もダウンロードされている。
この活動を 2023年8月に検知した ReversingLabs は、「オープンソースの rootkit である r77 を容易に配布する、Discord ボットをダウンロードした。この種のパッケージは、OSS プロジェクトがマルウェアを配布する手段として、多用されていく未来を示唆している」と付け加えた。
ReversingLabs によると、このパッケージの index.js ファイル内に悪意のコードが含まれており、それが実行されると、自動的に別の実行ファイルを取得されるという。
問題の実行ファイルは、”DiscordRAT 2.0″ という名の C# ベースのオープンソース型トロイの木馬であり、セキュリティ・ソフトウェアを無効化しながら、機密データの収集を容易にするものだ。全体で 40 個以上のコマンドを使用して、Discord 上で被害者のホストを遠隔操作する機能を備えているという。
bytecode77 により積極的に保守されている r77 は、ファイルやプロセスを隠すように設計された “fileless ring 3 rootkit” であり、他のソフトウェアにバンドルされるケースもあれば、ダイレクトに直接されるケースもあるという。
この r77 は、SeroXenトロイの木馬や暗号通貨マイナーを配布する、攻撃チェーンの一部として利用されてきた実績があり、悪意のキャンペーンに利用されるのは、今回が初めてではない。
さらに、node-hide-console-windows の2種類のバージョンが、DiscordRAT 2.0と一緒に Blank-Grabber というオープンソースの情報窃取ツールを取得し、”Visual Code Update” として偽装されていることも判明している。
このキャンペーンで特筆すべきは、オンラインで自由に一般公開されているコンポーネント基盤上に構築されることで、脅威アクターによる組み立ての労力が大きく削減され点にある。つまり、サプライチェーン攻撃へのドアは、いまや低リスクの脅威アクターたちにも開かれていることになる。
この調査結果は、開発者がオープンソースのリポジトリからパッケージをインストールする際に、注意が必要であることを強調している。今週の初めには、Fortinet FortiGuard Labs が、データ収集機能を搭載した約30のモジュールを特定し、コーディング・スタイルや実行方法にバリエーションがあることを明らかにした。
セキュリティ研究者である Lucija Valentić は、「悪意の行為者たちは、自分たちのパッケージが信頼できるように見せかける努力をしている。このキャンペーンを操る脅威アクターは、typo-squatt の対象である正規パッケージ・ページに酷似した npm ページを作り、さらには、彼らが模倣するパッケージをミラーリングするために、悪意のパッケージの 10種類のバージョンを作成している」と指摘している。
分かっていても、やられてしまう手口として、タイポスクワッティングは決して消えることのない攻撃手法なのでしょう。この攻撃で用いられた “node-hide-console-windows” を一瞥して、本物の “node-hide-console-window” との違いが分かる人など皆無のはずです。御用心くださいとしか、言いようがありません。
IoT OT Security News 
You must be logged in to post a comment.