更新:悪意のある人物が広く使用されている JavaScript プログラミング ツールを改ざんして他の開発者の NPM ログイン トークンを盗んだ後、今日、不幸な連鎖反応が回避されました。
オープンソースユーティリティ eslint-scope はハッカーによって改変され、ソースコードの分析に使用されると、ユーザーの~/.npmrcファイルの内容が HTTPS 経由で外部サーバーにコピーされるようになりました。そのファイルには被害者の NPMjs.org ログイントークンが含まれます。
NPMは、JavaScript界におけるライブラリ、ツールキット、その他のコードプロジェクト用のパッケージマネージャーです。これらのトークンを入手した悪質な人物は、他のパッケージを改ざんしてログイントークンをさらに収集したり、プログラムに悪意のあるコードを挿入したりといった行為を開始し、サイバー犯罪の連鎖反応を引き起こす可能性があります。
eslint-scopeは毎週200万回以上ダウンロードされていますが、侵害されたバージョンに感染し、トークンを盗まれたのは少数の人々だと報告されています。本日12時30分(UTC)以前に発行されたトークンは失効しており、ユーザーはNPMのパスワードを変更し、二要素認証を有効にする必要があります。また、盗まれた認証情報によってNOPMパッケージが破壊されたかどうかを調べるため、現在調査が進められています。
ハイジャックされた
eslint-scope バージョン 3.7.2 は、ソフトウェアのメンテナーの NPM アカウントを乗っ取った悪意のある人物によって NPM にプッシュされました。これは、ユーザーの NPM ログイントークンを収集する改ざんされたバージョンです。このバージョンは、公開から 2 時間以内にオフラインになりました。
認証情報窃盗犯はトークンを利用してNPMが管理する他のプロジェクトにアクセスし、さらにマルウェアを拡散させる可能性もあった。NPMユーザーは毎週数十億ものパッケージをダウンロードしている。
つまり、誰かが自分の NPM アカウントの制御権を攻撃者に奪われ、攻撃者はその人物が管理する人気のツールに悪意のあるコードを埋め込み、NPM アカウントにアクセスして、さらにパッケージに感染させる可能性があるのです。
npmに対するこのタイポスクワッティング攻撃は2週間も検知されなかった
続きを読む
当然のことながら、NPMは悪質なコードのさらなる拡散を防ぐため、2018年7月12日12時30分(UTC)以前に発行されたトークンを既に無効化しています。残念ながら、被害はすでに発生している可能性があります。NPMによると、この影響を受けたのは「少数」の開発者、そしておそらく彼らのプロジェクトです。
NPMはウェブサイト上の声明で、「今回の侵害の原因は、eslint-scopeパッケージの正規発行者の1社から盗まれた認証情報だと考えている」と述べた。
「この種の攻撃からアカウントを保護するために、すべてのパッケージ作成者は 2 要素認証を有効にすることをお勧めします。」
このハイジャックは昨夜のある時点で始まったと考えられており、eslint-scope のメンテナーのアカウントが一夜にして予期せぬ新しい NPM トークンを受け取り、コード作成者にセキュリティ侵害の可能性を知らせた。
「私たちのメンテナーの一人が、夜間に新しい npm トークンが生成されたことに気付きました (メンテナーは寝ていました)」と eslint 開発者の Kevin Partington 氏は説明しました。
感染したバージョンのeslint-scopeを使用していた方は、すでにNPMトークンが失効しているため、攻撃の一部は軽減されています。また、ソフトウェアを削除し、問題のない既知のバージョンをインストールする必要があります。
NPMは、侵害が実際にどれほど深刻であったかを判断するために、管理しているすべてのプロジェクトに対してさらなる監査を実施すると述べた。®
追加更新
不正なJavaScriptユーティリティによって約4,500件のログイントークンが盗まれた可能性があると認識していますが、eslint-scopeの侵害以外に悪意のある活動の兆候は見られません。NPMのCTOであるCJ Silverio氏から、以下の説明がありました。
