CrowdStrike npm Packages Hit by Supply Chain Attack
2025/09/16 gbhackers — 新たなサプライチェーン攻撃により、crowdstrike-publisher アカウントで管理されている複数の npm パッケージが侵害され、Shai-Halud と呼ばれる攻撃が継続的に展開されている。これらのパッケージを使用している、開発者および組織にとって必要なことは、直ちに対策を講じて認証情報を保護し、不正なコード実行を防ぐことだ。
Shai-Halud 攻撃が注目を集めたのは、”tinycolor” などの 40 以上の npm ライブラリへの侵入を成功させたときだ。いずれのライブラリも、インストール後に悪意のタスクを秘密裏に実行するための bundle.js スクリプトが注入されていた。
今回のインシデントは、これまでの侵害と類似している。悪意のペイロードは、秘密情報スキャン用の正規ツールである TruffleHog をダウンロード/実行し、ホスト・システム内のトークン/API キー/クラウド認証情報などを探索する。
そして、このマルウェアは、有効な開発者シークレットと CI (continuous integration) シークレットを収集した後に、侵害したリポジトリ内に不正な GitHub Actions ワークフローを作成する。
最終的に、窃取された機密データは、ハードコードされた Webhook エンドポイント (hxxps://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7) へと流出していく。これらの一連の操作は、SHA-256 ハッシュ (46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09) で特定される、単一のオーケストレーション・スクリプトにより実行される。
影響を受けるパッケージとバージョン
npm レジストリは、悪意のアクティビティを検出した直後から、侵害されたバージョンを迅速に削除してきた。CrowdStrike のコア製品も、影響を受けるパッケージの対象となり、そこには複数の Ember とユーティリティ・ライブラリが含まれる。
注目すべきものとして挙げられるのは、@crowdstrike/commitlint バージョン 8.1.1/8.1.2 および、@crowdstrike/falcon-shoelace 0.4.2、@crowdstrike/foundry-js 0.19.2、@crowdstrike/glide-core 0.34.2/0.34.3 などである。
| Package Name | Affected Version(s) |
|---|---|
@crowdstrike/commitlint | 8.1.1, 8.1.2 |
@crowdstrike/falcon-shoelace | 0.4.2 |
@crowdstrike/foundry-js | 0.19.2 |
@crowdstrike/glide-core | 0.34.2, 0.34.3 |
@crowdstrike/logscale-dashboard | 1.205.2 |
@crowdstrike/logscale-file-editor | 1.205.2 |
@crowdstrike/logscale-parser-edit | 1.205.1, 1.205.2 |
@crowdstrike/logscale-search | 1.205.2 |
@crowdstrike/tailwind-toucan-base | 5.0.2 |
その他の影響を受けるパッケージには、@crowdstrike/logscale-dashboard 1.205.2 や、@crowdstrike/logscale-file-editor 1.205.2、@crowdstrike/logscale-parser-edit バージョン 1.205.1/1.205.2 などが含まれる。
その他の侵害されたライブラリには、tailwind-toucan-base 5.0.2/browser-webdriver-downloader 3.0.8/各種 Ember ユーティリティ/eslint-config-crowdstrike モジュール/monorepo-next 13.0.2/remark-preset-lint-crowdstrike 4.0.2/verror-extra 6.0.1/yargs-help-output 5.0.3 などがある。
これらのパッケージに共通するのは、認証情報の窃取と外部流出を担う bundle.js ペイロードの存在である。侵害された npm パッケージの、いずれかを利用している組織にとって必要なことは、修正済みリリースが確認されるまで、それらをアンインストールするか、以前の正常なバージョンへと戻すことだ。
CrowdStrike 広報担当者は、「公開 npm レジストリ内で複数の悪意のパッケージを検出した後に、それらを迅速に削除し、公開レジストリ内の鍵を予防的に更新した。ただし、これらのパッケージは、Falcon センサーでは使用されていない。そのため、このプラットフォームへの影響はなく、顧客は引き続き保護されている。現在は npm と連携し、徹底的な調査を行っている最中だ」とGBHackers on Security に述べている。
ユーザー組織にとって重要なことは、すべての環境/開発者マシン/CI/CD エージェントにおいて、不正な npm 公開や、GitHub Actions ワークフローへの異常な追加の兆候を監査することである。
そしてセキュリティ・チームは、npm 認証トークン/クラウド認証情報などの、漏洩の可能性がある機密情報をローテーションする必要がある。また、異常な公開イベントやパッケージ変更のログを監視することで、さらなる悪意あるアクティビティも検出すべきだ。
CrowdStrike と npm のメンテナーは、拡散メカニズムを詳細に分析し、適切な修復の手順を提供するための、包括的な技術分析を推進している。
npm パッケージを介したサプライチェーン攻撃により、悪意のスクリプトが展開されています。”bundle.js” による不正処理が仕込まれており、インストールしただけで認証情報の収集や流出が生じるとされます。さらに、認証情報を奪った後に GitHub Actions の不正なワークフローを作成する仕組みも用いられており、開発環境自体が侵害されるリスクが強調されています。よろしければ、2025/09/16 の「npm の 40 パッケージに侵害が波及:TruffleHog による偵察と感染チェーンのためのコード挿入」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.