認証情報の窃取

慢雾 SlowMist は安全警報を発表し、@redhat-cloud-services に関連するソフトウェアパッケージをターゲットとした活発な npm サプライチェーン攻撃を検出しました。現在、31以上のパッケージが影響を受けていることが確認されており、週のダウンロード数は約 116,000 回、300 以上の GitHub リポジトリに盗まれた認証情報が存在します。この攻撃手法は以前の "Shai-Hulud" npm 攻撃と非常に類似しており、認証情報の窃取、悪意のあるリポジトリの作成、自動化された秘密の漏洩が含まれます。現在も新たな疑わしいリポジトリが継続的に出現しており、攻撃が続いていることを示しています。開発者は引き続き感染しています。潜在的な危害には、GitHub/npm トークンの盗難、AWS/GCP/Azure クラウド認証情報の漏洩、SSH キーと Kubernetes 秘密の収集、ローカル環境およびウォレットデータの漏洩、悪意のあるリポジトリの作成および持続的な操作、さらにはトークンが取り消された後に破壊的な行動を引き起こす可能性があります。影響を受けた @redhat-cloud-services パッケージのバージョンを直ちに削除またはダウングレードし、CI/CD ワークフローと依存関係のインストールを全面的に監査し、すべての GitHub、npm、クラウドサービス、SSH およびウォレット関連のキーをローテーションし、ログを保持し、クリーンなイメージから露出した開発者マシンまたは Runner を再構築し、常に高い警戒を維持することをお勧めします。

ChainCatcher のメッセージによると、Decrypt が報じたところでは、脅威インテリジェンス研究会社 Cisco Talos は水曜日に、北朝鮮のハッカーが Coinbase や Uniswap などの企業の採用担当者を装った偽の面接を通じて、暗号通貨の専門家を標的にした新型の Python リモートアクセス型トロイの木馬「PylangGhost」を展開していると報告しました。このマルウェアは、北朝鮮に関連する著名なハッカーグループ「Famous Chollima」（別名「Wagemole」）に関連しています。このマルウェアは、Metamask や 1Password を含む 80 以上のブラウザ拡張機能から資格情報を盗み、持続的なリモートアクセスを実現します。攻撃は主に Windows システムおよび macOS ユーザーを対象としており、Linux システムは現在の攻撃の影響を受けていません。