SAPやIntercom、Lightningの開発者向け公式パッケージが改ざんされ、インストール時にマルウェアが実行されるサプライチェーン攻撃が確認された。The Registerが4月30日(現地時間)に報じた。
攻撃では、開発者がダウンロードする公式パッケージにマルウェアが仕込まれたという。
開発者が対象パッケージをインストールすると、マルウェアが自動的に実行される。攻撃者はGitHubアカウントのパスワードのほか、Amazon Web Services(AWS)やGoogle Cloudの接続キー、データベースのアクセス情報などを窃取する。盗み出した情報は暗号化したうえで、外部サーバーに送信されるとされる。
今回の攻撃には、サイバー犯罪集団「TeamPCP」の関与が指摘されている。TeamPCPはこれまでも、複数のセキュリティツールや開発ツールを標的に同様の攻撃を仕掛けてきたとみられる。
被害が確認されたのは、SAPのクラウド開発関連のnpmパッケージ4件、顧客コミュニケーションプラットフォームIntercomの公式パッケージ、AIモデルの学習に使われるLightningのパッケージ。The Registerによると、SAP関連4件の週間ダウンロード数は合計57万2000件に上る。
SAPは、顧客とパートナーにセキュリティ通知を送付したと明らかにした。IntercomとLightningは、報道時点で公式見解を示していない。
著者について
Chi-gyu Hwang (황치규)
delight@d-today.co.kr