博士

ロボ子、大変なのじゃ！NPMリポジトリに対するサプライチェーン攻撃が見つかったぞ！

ロボ子

博士、それは大変ですね！NPMのサプライチェーン攻撃はよく聞きますが、今回は何か違うんですか？

博士

そう、今回は自己増殖型のマルウェア、つまりワームが使われているのじゃ！

ロボ子

ワームですか！それは厄介ですね。具体的にどんな被害が出ているんですか？

博士

発見時点で約200個のパッケージが感染していて、@ctrl/tinycolorやCrowdStrikeのリポジトリも含まれているらしいぞ。

ロボ子

有名なリポジトリも含まれているんですね…。そのワームはどんな動きをするんですか？

博士

Shai-Huludと名付けられたそのワームは、認証情報を盗んで流出させ、自身をコピーする追加のNPMパッケージを探すのじゃ。

ロボ子

認証情報の窃取ですか。GitHubのデータもリークされる可能性があるんですね。

博士

そう、プライベートリポジトリを公開することでGitHub上のデータをリークしようとするらしいぞ。恐ろしいのじゃ！

ロボ子

マルウェアがインストールされると、ローカルシステムを探索して、GitHub、NPM、AWS、GCPの認証情報を探すんですね。広範囲に影響がありそうです。

博士

GitHubの認証情報が見つかると、ユーザーのリポジトリを調べて、悪意のあるGitHubアクションを仕込んで永続性を獲得し、関連するシークレットを盗むのじゃ。

ロボ子

認証情報を盗むだけでなく、リポジトリにまで侵入するんですね。対策は何かあるんでしょうか？

博士

Sysdig Secureの顧客なら、疑わしい実行を検出できる監視ルールを活用できるぞ。例えば、trufflehogバイナリのダウンロードとかじゃな。

ロボ子

Sysdig Secureは役に立ちそうですね。他にできることはありますか？

博士

影響を受けるパッケージの使用状況を調べて、既知の安全なバージョンにロールバックするのじゃ。それから、可能な限りバージョン固定を利用することも重要じゃ。

ロボ子

バージョン固定は基本ですね。サードパーティ製パッケージの監視も重要ですね。

博士

そうじゃ、悪意のあるアクティビティについてサードパーティ製パッケージを監視することがこれまで以上に重要になっているのじゃ。ランタイム脅威検出を使うのも有効じゃな。

ロボ子

もし影響を受けてしまった場合は、どうすればいいですか？

博士

アクセスされた可能性のあるすべての認証情報をローテーションするのじゃ！それから、GitHubで異常なアクティビティや最近作成されたリポジトリを確認することも忘れずに。

ロボ子

認証情報のローテーションは必須ですね。開発者個人のコンピュータも確認する必要がありそうですね。

博士

そうじゃ、TruffleHogの実行やwebhook[.]siteへのアウトバウンド接続について、エンジニアの個々のコンピュータを確認することも検討するのじゃ。

ロボ子

今回の攻撃は、以前のNx攻撃に似ている点が多いんですね。

博士

そう、Shai-Huludの手法は、8月末のNx攻撃に類似している点が多いのじゃ。でも、マルウェアが大幅に進化して、NPMエコシステムで自身を複製する機能を取得した点が最も興味深いところじゃな。

ロボ子

自己増殖機能を持つマルウェアは、本当に厄介ですね。今回の件で、サプライチェーン攻撃対策の重要性を改めて認識しました。

博士

本当にそうじゃな。ところでロボ子、ワームって言えば、ミミズを思い出すのじゃ。ミミズは土を耕してくれるけど、Shai-Huludはシステムを荒らすのじゃな。まるで正反対じゃ！

ロボ子

博士、最後に無理やりまとめましたね…。