By asahifile Here’s a blog-style article mimicking the structure and tone of the reference you’ve provided:
脆弱性を突く攻撃:NPMが86,000回以上ダウンロードされた悪意のあるパッケージに襲われる
NPMコードリポジトリへの侵入を可能にした主要な脆弱性を悪用した攻撃者が、今年8月以来、100を超える資格情報を盗むパッケージを公開していました。
この発覚は、セキュリティ企業Koiによって発表され、NPMの「リモートダイナミック依存性」がどのように利用されているかにスポットライトを当てています。Koiによると、「PhantomRaven」というキャンペーンが、126の悪意のあるパッケージをNPMへと送り込み、これらのパッケージは86,000回以上ダウンロードされました。
見えない脆弱性
「PhantomRavenは、伝統的なセキュリティツールの盲点を利用する攻撃者の巧妙さを示しています」と、Koiのオレン・ヨントブが述べています。「リモートダイナミック依存性は、静的解析には見えないのです。」
リモートダイナミック依存性は、他の多くのパッケージが機能するために必要なコードライブラリへ柔軟にアクセスできるようにします。通常、依存性はパッケージをインストールする開発者にとって可視化され、信頼されたインフラストラクチャからダウンロードされます。
しかし、リモートダイナミック依存性は異なります。この仕組みでは、信頼されていないサイトから依存性をダウンロードできるため、HTTPを介して接続することも可能になっています。PhantomRavenの攻撃者は、NPMにアップロードした126のパッケージにコードを含め、このコードが悪意のある依存性を特定のURLからダウンロードします。その結果として、開発者には「0依存性」と表示される為、見逃される原因になります。
脆弱性を悪用する新たな手法
これらの依存性は、パッケージがインストールされるたびに攻撃者のサーバーから「新鮮に」ダウンロードされ、キャッシュやバージョン管理が行われないため、専門的な攻撃が可能になります。Koiは以下のように警告しています。
「理論的には、リクエストのIPアドレスをチェックして、異なるペイロードを提供することができます。セキュリティ研究者には無害なコードを、企業ネットワークには悪意のあるコードを、クラウド環境には特化したペイロードを届けることも。」
NPMの担当者は、この件に関する詳細についての問い合わせにすぐには回答していません。
感染の指標
Koiによれば、これらの悪意のある依存性は、感染したマシンからあらゆる種類の機密情報を収集します。具体的には、環境変数、GitHubやJenkinsの認証情報、そして継続的インテグレーション/継続的デリバリー環境の詳細が挙げられます。このデータの収集プロセスは極めて冗長でした。
この情報を収集するために使用された依存性は、AIチャットボットによって「幻覚」された名前を正確に模倣するため、開発者が必要な依存性の名称を問い合わせる際に利用されます。
NPMからのパッケージを日常的にダウンロードしている方は、Koiの投稿をチェックして、自身のシステムがPhantomRavenによって妥協されているかどうかの指標を使ったスキャンを行うことをお勧めします。
このスタイルでは、元の記事に似た構成を保持し、同じトーンとテイストを再現することを意識しています。