コンピュータのメンテナンス
 Computer >> コンピューター >  >> トラブルシューティング >> コンピュータのメンテナンス

セキュリティ警告:公式 SAP NPM パッケージが侵害されました – 資格情報の盗難が検出されました

セキュリティ警告:公式 SAP NPM パッケージが侵害されました – 資格情報の盗難が検出されました

複数の公式 SAP npm パッケージが、開発者のシステムから資格情報と認証トークンを盗むための TeamPCP サプライ チェーン攻撃と考えられる攻撃で侵害されました。

セキュリティ研究者は、この侵害が 4 つのパッケージに影響を及ぼし、そのバージョンは現在 NPM で非推奨になっていると報告しています。

  • @cap-js/sqlite – v2.2.2
  • @cap-js/postgres – v2.2.2
  • @cap-js/db-service – v2.10.1
  • mbt – v1.2.48

これらのパッケージは、エンタープライズ開発で一般的に使用される SAP のクラウド アプリケーション プログラミング モデル (CAP) とクラウド MTA をサポートします。 

Aikido と Socket による新しいレポートによると、侵害されたパッケージは、npm パッケージのインストール時に自動的に実行される悪意のある「プレインストール」スクリプトを含むように変更されていました。 

このスクリプトは、GitHub から Bun JavaScript ランタイムをダウンロードし、それを使用して高度に難読化されたexecution.js ペイロードを実行する setup.mjs という名前のローダーを起動します。 

このペイロードは、開発者のマシンと CI/CD 環境の両方から次のようなさまざまな認証情報を盗むために使用される情報窃取手段です。

  • npm および GitHub 認証トークン
  • SSH キーと開発者の認証情報
  • AWS、Azure、Google Cloud のクラウド認証情報
  • Kubernetes の構成と秘密
  • CI/CD パイプラインのシークレットと環境変数

また、このマルウェアは、TeamPCP が以前のサプライ チェーン攻撃で認証情報を抽出した方法と同様に、CI ランナーのメモリから直接シークレットを抽出しようとします。

「CI ランナーでは、ペイロードは、Runner.Worker プロセスの /proc//maps および /proc//mem を読み取る埋め込み Python スクリプトを実行して、"key" :{ "value":"...", "isSecret":true} に一致するすべてのシークレットをランナー メモリから直接抽出し、CI プラットフォームによって適用されるすべてのログ マスキングをバイパスします」と Socket は説明します。

「この秘密のメモリ スキャナは、Bitwarden および Checkmarx 事件で文書化されたものと構造的に同一です。」

データが収集されると、暗号化され、被害者のアカウントでパブリック GitHub リポジトリにアップロードされます。これらのリポジトリには、「A Mini Shai-Hulud has Appeared」という説明が含まれています。これは、Bitwarden サプライ チェーン攻撃で見られた「Shai-Hulud:The Third Coming」という文字列にも似ています。

セキュリティ警告:公式 SAP NPM パッケージが侵害されました – 資格情報の盗難が検出されました 「ミニ Shai-Hulud が登場しました」という説明で作成された Github リポジトリ
出典:合気道

このマルウェアは、トークンを取得してさらにアクセスするためのデッドドロップ メカニズムとして GitHub コミット検索にも依存しています。

「マルウェアは GitHub コミットでこの文字列を検索し、一致するコミット メッセージをトークン デッド ドロップとして使用します」と Aikido は説明します。

「OhNoWhatsGoingOnWithGitHub: に一致するコミット メッセージは GitHub トークンにデコードされ、リポジトリ アクセスがチェックされます。」

以前の攻撃と同様に、デプロイされたペイロードには、他のパッケージに自己伝播するコードも含まれています。

盗んだ npm または GitHub 認証情報を使用して、アクセス権を取得した他のパッケージやリポジトリを変更しようとし、同じ悪意のあるコードを注入してさらに拡散します。 

研究者らは、この攻撃を、Trivy、Checkmarx、Bitwarden に対する以前のサプライチェーン攻撃で同様のコードと戦術を使用した TeamPCP 攻撃者と中程度の確信度で関連付けています。

攻撃者が SAP の npm 公開プロセスにどのように侵入したのかは不明ですが、セキュリティ エンジニアの Adnan Khan 氏は、NPM トークンが誤って設定された CircleCI ジョブを介して公開された可能性があると報告しています。

BleepingComputer は、npm パッケージがどのように侵害されたのかを知るために SAP に問い合わせましたが、公開時点では返答は得られませんでした。

セキュリティ警告:公式 SAP NPM パッケージが侵害されました – 資格情報の盗難が検出されました

Mythos が発見したものの 99% はまだパッチされていません。

AI は 4 つのゼロデイを 1 つのエクスプロイトに連鎖させ、レンダラーと OS サンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。

Autonomous Validation Summit (5 月 12 日と 14 日) では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、制御が維持されていることを証明し、修復ループを閉じるかをご覧ください。

あなたのスポットを主張してください


  1. [100% 修正] Chrome または Firefox で Twitch が読み込まれない

    この記事では、Twitch が Chrome または Firefox で読み込まれない問題の修正を支援します。 Twitch は、オーディオ、ビデオ、ゲーム、エンターテイメントなどに関連するライブ ストリーミングを聴きたい人に人気のプラットフォームです。プラットフォームがゲームプレイ ストリーミング スペースとして始まったとき、それほど人気はありませんでしたが、現在、Twitch には数百万人のフォロワーがおり、その数は毎秒増加しています。 絶大な人気があるにもかかわらず、人々は時々プラットフォームでいくつかの問題に直面します.ユーザーが直面する一般的な問題は、Twitch が Chrom

  2. 応答しない Web ブラウザを迅速に解決する:ステップバイステップ ガイド

    応答しない Web ブラウザを修正する方法 Web ブラウザーが応答しないと、特に仕事、研究、または単にインターネットの閲覧などの日常業務で Web ブラウザーに依存している場合、非常にイライラすることがあります。ブラウザがフリーズしたり応答しなくなったりすると、ワークフローが中断され、多大なストレスが生じる可能性があります。このガイドは、これが発生する理由とそれを修正する方法を理解するのに役立つことを目的としています。一般的な原因から高度なトラブルシューティングの手順まですべてを取り上げ、ブラウザを再びスムーズに動作させるために必要な知識をすべて習得してください。 この包括的なガイドでは