Axios サプライチェーン攻撃により暗号資産アプリがリスクに晒される

深刻なサプライチェーン攻撃が、Web開発で最も広く使用されているツールの1つであるAxiosを襲いました。Socket Securityのセキュリティー研究者は、ハッカーがnpmに公開されたライブラリの特定のバージョンにマルウェアを注入したことを発見しました。

この攻撃は何百万もの暗号資産アプリに影響を与える可能性があります。これには、Axiosに依存してサーバーと接続する多くの暗号資産プラットフォームが含まれます。Axiosは非常に多くのシステムで使用されているため、リスクは広範かつ即座に発生します。影響を受けるバージョンには、axios@1.14.1とaxios@0.30.4が含まれます。これらのバージョンをインストールした開発者は、知らないうちにシステムを危険にさらした可能性があります。

攻撃はどのように発生したか?

この攻撃は単純なバグから発生したものではありません。代わりに、ハッカーはサプライチェーン方式を使用しました。これは、ソフトウェアの配布プロセス自体を標的にしたことを意味します。このケースでは、攻撃者が「plain-crypto-js@4.2.1」という悪意のあるパッケージを隠れた依存関係として追加しました。このパッケージは以前のAxiosには含まれていませんでした。誰かがリリース中に静かに挿入したのです。

さらに懸念されるのは、このリリースがAxiosの通常のプロセスに従っていなかったことです。公式のGitHubタグには表示されませんでした。これは、攻撃者が公開システムへの不正アクセスを獲得したことを示唆しています。報告によると、メンテナーアカウントが侵害された可能性があります。これにより、攻撃者は感染したバージョンを直接npmにプッシュできました。

マルウェアができること

このマルウェアは無害ではありません。RATとしても知られるリモートアクセスツールをインストールします。システムに侵入すると、コマンドを実行し、データを収集し、外部サーバーに接続できます。macOS、Windows、Linuxで動作します。この攻撃は自身を隠すように設計されています。インストール中に実行され、その後活動の痕跡を削除します。これにより検出が困難になります。これにより、開発者でさえ自分のシステムが影響を受けていることに気付かない可能性があります。

暗号資産プロジェクトが危険にさらされる理由

暗号資産アプリは、データの送受信にAxiosのようなツールに依存することがよくあります。これには、ウォレットサービス、取引所、分散型アプリが含まれます。これらのアプリが影響を受けたバージョンを使用している場合、攻撃者は機密データにアクセスできる可能性があります。これには、秘密鍵、APIトークン、またはユーザー情報が含まれる場合があります。

多くのプロジェクトが自動更新を使用しているため、一部のプロジェクトは知らないうちに侵害されたバージョンをインストールしている可能性があります。これにより状況はより深刻になります。この攻撃は、1つの弱点が一度に多くのシステムに影響を与える可能性があることも示しています。

開発者が今すぐすべきこと

セキュリティー専門家は、開発者に迅速に行動するよう促しています。まず、すべての依存関係とロックファイルを確認してください。影響を受けたAxiosバージョンと悪意のあるパッケージを探してください。見つかった場合は、すぐに削除してください。その後、安全なバージョンのAxiosに切り替えてください。

また、システムに異常な活動がないか確認することも重要です。セキュリティーチームは、不正アクセスの兆候を慎重に処理する必要があります。npmレジストリは有害なバージョンを削除しました。しかし、この事件はまだ調査中です。この攻撃は明確なリマインダーです。信頼できるツールでさえターゲットになる可能性があります。暗号資産のような急速に動く分野では、警戒を怠ることはもはや選択肢ではありません。

Axios Supply Chain Attack Exposes Crypto Apps to Riskという投稿は、Coinfomaniaに最初に掲載されました。