【要約】Dozens of Red Hat packages backdoored through its offical NPM channel [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
攻撃者はRed Hatの公式NPM名前空間を乗っ取った。これにより、開発者は偽のパッケージを公式と誤認して導入した。
- ・
@redhat-cloud-servicesという公式チャネルが侵害された。 - ・30以上のパッケージにバックドアが仕込まれた。
- ・マルウェアは
npm install時に実行される。 - ・実行時ではなく、ビルドやインストール時に感染が完了する。
// Approach
攻撃者はCI/CDパイプラインの権限を悪用して感染を広げた。認証情報を盗み、自動的に拡散する仕組みを構築した。
- ・GitHub Actions OIDCを介してパイプラインを侵害した。
- ・GitHub secretsやKubernetesの認証情報を窃取する。
- ・窃取したデータをWeb経由、またはGitHubリポジトリへ送信する。
- ・感染端末の権限を利用し、他者のアカウントへ不正パッケージを再公開する。
// Result
セキュリティ企業が被害を検知し、一部のパッケージは削除された。しかし、感染した環境の完全な復旧は困難である。
- ・SocketやAikidoがIoC(侵害指標)を提供した。
- ・感染したシステムはすべて侵害されたと判断すべきである。
- ・Shai-Huludの普及により、攻撃の激化が予想される。
Senior Engineer Insight
> 公式パッケージへの盲信は致命的なリスクとなる。インストール時の挙動が実行時より先に動く点が極めて危険だ。CI/CD環境の分離と、最小権限原則の徹底が急務である。また、ビルドプロセスにおける外部通信の制限も検討すべきだ。