Malwarebytesは3月31日(米国時間)、「Axios supply chain attack chops away at npm trust | Malwarebytes」において、ノードパッケージマネージャー(npm: Node Package Manager)から配布されているJavaScript HTTPクライアントライブラリ「「axios」が侵害されたと報じた。
axiosは週間ダウンロード数が最大1億件に達することもある人気のパッケージ。多くのJavaScript関連プロジェクトに採用されていることから、直接および間接的に幅広いユーザーに影響を及ぼしている可能性があるという。
-
人気ライブラリ「axios」にマルウェアが混入、開発環境が侵害される可能性がある Photo:PIXTA
攻撃の手口は?axios改ざんとマルウェアの仕組み
攻撃者は何かしらの方法で入手したaxiosメンテナーの認証情報を悪用し、改ざんしたパッケージ「axios@1.14.1」および「axios@0.30.4」を公開したとされる。これらパッケージには依存関係として「plain-crypto-js@4.2.1」が挿入されており、このパッケージがマルウェアドロッパーとして機能したという。
標的プラットフォームはWindows、macOS、Linuxとされ、主要なプラットフォームをすべて侵害可能とされる。そのため、当該バージョンのaxiosを直接インストールした場合や、axiosを利用しているパッケージや製品をインストールした場合は侵害された可能性がある。
マルウェアドロッパーは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)を展開し、攻撃者に追加のサイバー攻撃環境を提供する。そのため、影響を受けたデバイスは攻撃者に完全に侵害されたと評価されている。
どの環境が影響を受ける?ReactやVueなど主要フレームワークへの波及
Malwarebytesは間接的影響のある製品として、次のフレームワークを挙げている。これらは影響範囲の一部であり、他の幅広い製品にも影響したとみられている。
- React(React.js)
- Vue(Vue.js)
- Angular(AngularJS)
- Electron
- React Native
誰に影響がある?開発者と一般ユーザーの違い
この攻撃はパッケージのインストールおよびビルド段階に発生するため、主に開発者に影響し、Webサービス利用者に影響する可能性は低いとされる。MalwarebytesはWebブラウザでアプリを起動しているだけであれば影響はないと述べ、Webアプリの利用者は心配する必要はないとしている。
どう対処すべき?開発者が今すぐ行うべき対策
開発者は当該パッケージの影響を調査し、侵害された可能性がある場合は次の対策を実施することが推奨されている。
- 環境に存在するすべてのシークレット(パスワード、署名鍵、APIキーなど)を更新する
なお、マルウェアドロッパーは感染後に攻撃の痕跡を消去するため、後になって悪意のあるコードや侵害の痕跡を発見することはできないとされる。そのため侵害の有無はStepSecurityが公開しているセキュリティ侵害インジケーター(IoC: Indicator of Compromise)「axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity」を評価し、特定することが推奨されている。
