GitHubは12月23日(現地時間)、npmへのサプライチェーン攻撃「Shai-Hulud」について、被害状況と今後の対策計画を発表した。Shai-Huludは複数回にわたり、JavaScriptエコシステムのパッケージとメンテナワークフローの信頼境界を標的として、認証情報流出やインストール時のマルウェア実行などで感染拡大を図った。
攻撃の第1波では流出したアカウントを悪用し、インストール時に発動する不正スクリプトをパッケージに注入して秘密情報を窃取、依存先にも感染を広げた。第2波ではマルウェアの自己複製能力が向上し、クロスアカウントでの情報窃取やより複雑な攻撃へ進化した。CI環境や権限昇格手法への対応、不正パッケージの正規版模倣なども特徴だという。
今後npmは、大量パッケージのOIDC移行支援、新たなCIプロバイダ対応、公開前レビューと多要素認証によるステージド公開機能を強化する。これにより、意図しない変更や攻撃コードの流通防止を狙う。
開発者・管理者への対策として多要素認証の徹底、トークン有効期限設定、不要アプリの権限剥奪、サンドボックス開発推奨などが挙げられている。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
