Solana FakeFix: 安定版に偽装する25の悪意あるnpmおよびPyPIパッケージ
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
悪意のあるパッケージキャンペーンがSolana開発者を対象に、安定ビルドの修正として偽装されたtyposquattingされたnpmおよびPyPIライブラリを介して攻撃しています。マルウェアはパッケージライフサイクルの実行とインポート時のフックを悪用し、感染環境からウォレットの秘密情報、クラウドの認証情報、SSHキーを盗みます。一部のサンプルは、Telegramベースのコマンド・アンド・コントロールを通して完全なバックドアとして動作したり、Denoを基にしたWindowsに特化したローダーを配信することで盗難を超えて広がります。
調査
JFrog Securityの研究者たちは、2つの別々で関連性のある操作を発見しました。最初のものはSolana FakeFixと追跡され、偽のSDKスタイルのパッケージを使用して開発者やビルドシステムから機密情報を収集していました。2つ目は、CMSをテーマとしたnpmパッケージを使用してWindows実行ファイルをロードします。分析の結果、悪意のあるコードはしばしば、正当な形に見えるライブラリに追加されていることがわかり、パッケージが合法的に見えるダイナミックに2番目のステージのペイロードを取得するのに役立っていました。
緩和策
組織は、開発者のワークステーション、CI/CDパイプライン、および内部パッケージキャッシュからすべての影響を受けたパッケージを削除するべきです。Solanaウォレットキー、SSHキー、AWS認証情報、GitHubトークンを含む、露出する可能性のある認証情報は直ちに回転させるべきです。セキュリティチームは、レジストリ・ランキーやスケジュールされたタスク、シェルプロファイルの変更などの持続的手法についてホストを監査するべきです。
対応
防御者は特定された悪意のあるパッケージをアンインストールし、依存関係のロックファイルをレビューして、未承認または予期しないライブラリを確認するべきです。露出したすべての秘密は一度に回転させるべきで、潜在的に危険にさらされたウォレットに保管されている暗号通貨は新しい信頼できるアドレスに転送されるべきです。CIランナーと開発システムは、その後、隠れたバックドアや持続的なメカニズムが残っていないことを保証するためにクリーンなイメージから再構築されるべきです。
攻撃の流れ
検出
持続性の可能性のあるポイント [ASEPs – ソフトウェア/NTUSER ハイブ] (registry_event 経由)
表示
LOLBAS Conhost (cmdline 経由)
表示
コマンドとコントロールチャネルとしてのTelegram悪用の可能性 (dns_query 経由)
表示
おそらく通常でないポートを持つ直接IPへのC2通信の可能性 (プロキシ経由)
表示
検出するためのIOCs (SourceIP): Solana FakeFix: 25の悪意のあるnpmおよびPyPIパッケージが偽の安定ビルドで開発者を誘引
表示
検出するためのIOCs (DestinationIP): Solana FakeFix: 25の悪意のあるnpmおよびPyPIパッケージが偽の安定ビルドで開発者を誘引
表示
遠隔ダイナミックペイロードとTelegram C2を含む悪意のあるパッケージ活動の検出 [Windowsネットワーク接続]
表示
悪意のあるスクリプト実行のためにヘッドレスモードでのconhost.exeの実行 [Windowsプロセス作成]
表示
CMS Windowsローダーのレジストリランキー持続性の検出 [Windowsレジストリイベント]
表示
PowerShellプロファイルフックの持続性と隠れたPowerShell実行の検出 [Windows PowerShell]
表示
シミュレーション実行
前提条件: テレメトリー & ベースラインプレフライトチェックが通過していること。
理由: 本セクションは、攻撃者の技術(TTP)によってトリガーされる検出ルールの正確な実行を詳細に説明しています。コマンドと叙述は、特定されたTTPを直接反映し、検出ロジックで予想される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診につながります。
-
攻撃の叙述とコマンド: 攻撃者は最初のアクセスを取得し、ホールドを維持することを意図しています。彼らはDenoベースのペイロードを使用することを決定します。ターミナルの実行を隠すために、彼らは
--headlessフラグをconhost.exeに使用します。彼らはHKCUSoftwareMicrosoftWindowsCurrentVersionRunレジストリキーを修正し、DenoUpdaterという名前の値を追加し、conhost.exe --headless deno.exe [malicious_script]を実行します。これにより、ユーザーログイン時にバックグラウンドで静かにペイロードが実行されるようになります。 -
回帰テストスクリプト:
# レジストリランキーを通じたDenoベースの持続性のシミュレーション $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $Name = "DenoUpdater" $Value = "C:WindowsSystem32conhost.exe --headless C:UsersPublicdeno.exe malicious_payload.js" Write-Host "[*] 持続性メカニズムをシミュレート中..." New-ItemProperty -Path $RegistryPath -Name $Name -Value $Value -PropertyType String -Force Write-Host "[+] レジストリキーが作成されました。SIEMでアラートを確認してください。" -
クリーンアップコマンド:
# シミュレートされた持続性のクリーンアップ $RegistryPath = "HKCU:SoftwareMicrosoftWindowsCurrentVersionRun" $Name = "DenoUpdater" if (Get-ItemProperty -Path $RegistryPath -Name $Name -ErrorAction SilentlyContinue) { Remove-ItemProperty -Path $RegistryPath -Name $Name -Force Write-Host "[+] クリーンアップが完了しました。レジストリキーが削除されました。" } else { Write-Host "[-] クリーンアップ失敗:レジストリキーが見つかりません。" }