北朝鮮関連とみられるハッカーが、主要JavaScriptライブラリ「Axios」のNPMパッケージを改ざんし、悪性版が短時間で広く配布されるサプライチェーン攻撃が確認された。SecurityWeekが4月1日(現地時間)に報じた。
Google Threat Intelligence Groupは、この攻撃の背後に、暗号資産やDeFi関連企業を継続的に狙ってきた北朝鮮関連のハッカー集団「UNC1069」がいるとの見方を示した。
Axiosは、Node.jsやブラウザ環境で非同期のAPIリクエストを処理するHTTPクライアントライブラリだ。NPMで週1億回超ダウンロードされる上位10パッケージの1つで、クラウド環境やコードベースの約80%で利用されているという。
攻撃は3月31日午前0時すぎ(現地時間)に始まった。攻撃者はバックドアを仕込んだAxiosのバージョン1.14.1と0.30.4をNPMレジストリに公開した。これらのバージョンはWindows、macOS、Linuxで、ユーザーの操作なしに悪性コードを実行するよう設計されていた。両バージョンは約3時間後にレジストリから削除された。
SecurityWeekによると、クラウドセキュリティ企業Wizは、この間にAxios利用者の約3%が該当バージョンをダウンロードしたとみている。攻撃者はAxiosの主要メンテナーアカウント「@jasonsaayman」を乗っ取り、改ざん版を公開したという。
Google Threat Intelligence Groupの主任アナリスト、John Hultquist氏は、Axiosの利用規模を踏まえると、今回の事案は「広範な影響」を及ぼす可能性があると警鐘を鳴らした。
著者について
Chi-gyu Hwang
delight@d-today.co.kr