Cryptocurrency

rspack/core、@rspack/cli、Vantの3つの人気npmパッケージが、盗まれたnpmアカウントトークンによって侵害され、脅威者はクリプトマイナーをインストールした悪意のあるバージョンを公開することができました。

Sonatypeと Socketの両研究者が発見したサプライチェーン攻撃は、侵害されたシステム上にXMRig暗号通貨マイナーを展開し、追跡が困難なプライバシー暗号通貨Moneroをマイニングしていました。

さらにSonatypeは、3つのnpmパッケージすべてが同じ日に同一の侵害を受け、複数のバージョンに影響を及ぼしていることを発見した。

RspackはRustで書かれた高性能JavaScriptバンドルラで、JavaScriptプロジェクトのビルドとバンドルに使用される。

侵害された2つのパッケージは、そのコアコンポーネントとコマンドラインインターフェイス(CLI)ツールで、それぞれnpmで毎週394,000回と145,000回ダウンロードされている。

Vantは軽量でカスタマイズ可能なVue.jsのUIライブラリで、モバイル・ウェブ・アプリケーションの構築向けに設計され、あらかじめデザインされた再利用可能なUIコンポーネントを提供する。これも比較的人気があり、npmで毎週46,000ダウンロードを集めている。

クリプトマイニング活動

悪意のあるコードは、@rspack/coreの’support.js’ファイル内と、@rspack/cliの’config.js’ファイル内に隠されており、外部サーバーから設定とコマンド・アンド・コントロール(C2)命令を取得します。

このマルウェアは、パッケージのインストール時に自動的に実行されるnpmのポストインストールスクリプトを活用している。

Fetching the miner from an external address
外部アドレスからマイナーをフェッチ
Source:Sonatype

実行されると、被害者のシステムの地理的位置とネットワークの詳細を取得します。

「この呼び出しは、http://ipinfo.io/json のジオロケーション API にアクセスし、被害者のシステムに関する IP アドレス、地理的位置、その他のネットワークの詳細を収集する可能性があります」と Socket 氏は説明する。

“このような偵察は、ユーザーの場所やネットワークプロファイルに基づいて攻撃を調整するために使用されることが多い “とソケット氏は説明する。

XMRigのバイナリはGitHubのリポジトリからダウンロードされ、侵害されたVantパッケージについては、その目的を隠し、ファイルシステムに溶け込むために「/tmp/vant_helper」にリネームされる。

クリプトマイニング・アクティビティは、CPU使用率を利用可能なプロセッサ・スレッドの75%に制限する実行パラメータを使用し、クリプトマイニングのパフォーマンスと回避のバランスをうまくとっている。

SonatypeのAx Sharmaによると、侵害されたRspackパッケージから以下のMoneroアドレスが見つかったという:

475NBZygwEajj4YP2Bdu7yg6XnaphiFjxTFPkvzg5xAjLGPSakE68nyGavn8r1BYqB44xTEyKQhueeqAyGy8RaYc73URL1j

妥協への対応

RspackとVantの両社は、NPMアカウントが侵害されたことを確認し、新しいクリーンバージョンのパッケージをリリースし、サプライチェーンを保護できなかったことをコミュニティに謝罪した。

“2024年12月19日02:01 (UTC)に、私たちのnpmパッケージ@rspack/coreと@rspack/cliが悪意を持って攻撃されていることを発見しました。攻撃者は侵害されたnpmトークンを使用してv1.1.7をリリースし、悪意のあるコードが含まれていました。Rspackの開発者は、「この問題を発見し、直ちに対処しました。

「このリリースはセキュリティ上の問題を修正するためのものです。私たちのチームメンバーの1人のnpmトークンが盗まれ、セキュリティの脆弱性を持つ複数のバージョンをリリースするために使用されていることがわかりました。私たちはそれを修正し、最新バージョンを再リリースするための措置を講じました」とVantの開発者は投稿した

回避すべき危険なRspackのバージョンは1.1.7で、悪意のある暗号マイニングコードが含まれている。

ユーザーはv1.1.8以降にアップグレードすることが推奨される。悪意のあるバージョンの前のバージョンであるv1.1.6も安全ですが、最新のものは追加のセキュリティ対策が施されています。

Vantに関しては、複数の危険なバージョンを避けるべきである。これらは以下の通り:2.13.3、2.13.4、2.13.5、3.6.13、3.6.14、3.6.15、4.9.11、4.9.12、4.9.13、4.9.14です。

ユーザーは、Vant v4.9.15およびそれ以降のバージョンにアップグレードすることが推奨されます。Vant v4.9.15は、ソフトウェアの最新バージョンの安全な再リリースです。

この事件は、人々の暗号通貨資産を狙ったLottieFilesや、クリプトマイニングのためにユーザーのハードウェアリソースをハイジャックしたUltralyticsなど、最近のサプライチェーン侵害に続くものである。