Bkav Groupのセキュリティ専門家は、数万台のプログラマーのコンピューターがGlassWormに感染したと推定している。この攻撃は連鎖反応を引き起こし、ハッカーはこれらのデバイスを足がかりとして企業の内部ネットワークに侵入し、ソースコードを操作し、その後、ウイルスを自動的に複製して、ベトナムを含むグローバルなソフトウェアサプライチェーン全体に指数関数的に拡散させた。
今回の攻撃は、ソフトウェアの脆弱性を直接悪用することを目的としたものではありませんでした。代わりに、ハッカーは盗んだアカウントとアクセストークンを利用して、プログラマーがコードリポジトリやソフトウェアユーティリティプラットフォーム上で共有する正規のソースコードに悪意のあるコードを注入しました。
悪意のある変更は、正規のアカウントを装って行われたり、作成者、内容、貢献時間などのソースコード更新(コミット)履歴情報を用いて偽装されたりして行われます。これらの情報は正規の更新と似ているため、変更が正常に見え、視覚的な確認や事前チェックでは検出が困難になります。
「ハッカーはコード内の『目に見えない』Unicode文字に悪意のあるコマンドを直接埋め込み、一見空っぽに見えるテキスト行を秘密の攻撃ツールに変えます。肉眼で見たり、予備的なチェックを行ったりすると、コードは完全に正常に見えます。そのため、プログラマーも従来のテストツールも異常を検出するのが困難になります」と、Bkavのマルウェア専門家であるグエン・ディン・トゥイ氏は述べています。
GlassWormは、ソースコードリポジトリにマルウェアを注入するだけでなく、一部の攻撃手法では「目に見えない」Unicode文字の注入技術を用いて、自動検証システムを回避しています。容易に検出・停止される従来のサーバーを使用する代わりに、この攻撃キャンペーンではSolanaブロックチェーンネットワークを利用して制御コマンドを保存・送信します。これにより、ハッカーのシステムは分散化され、停止が極めて困難になります。同時に、このマルウェアは通信を維持し、活動を隠蔽するために、少なくとも6つのC2サーバーのIPアドレスを切り替えて使用します。
マルウェアが起動すると、仮想通貨ウォレット、SSHセキュリティキー、アクセス認証コード、プログラマーのシステム情報などの機密データを盗み出し、組織のシステムへの侵入をさらに拡大します。特に、この攻撃は、マルウェアが埋め込まれた開発ツール、拡張機能、または依存コードセグメントを介して、プログラマーの日常業務環境にまで広がっています。
ベトナムでは、GitHubやnpmといったプラットフォームが、Webアプリケーションやモバイルアプリケーションからエンタープライズシステムまで、製品開発に広く利用されています。人気のあるライブラリにマルウェアが注入されると、プログラマーが使用する依存関係を通じて、多くの国内ソフトウェアプロジェクトやエンタープライズシステムにリスクが広がる可能性があります。Bkavは、プログラマーやテクノロジー組織に対し、以下の対策を推奨しています。ライブラリや拡張機能のバージョンを固定し、自動更新を無効にすることで、新しい更新によるクロスインフェクションを防ぐ。自動コードスキャンツールをIDEまたはCI/CDストリームに直接統合し、難読化されたコードや隠し文字を継続的にスキャンして早期に検出する。ソースコードリポジトリには、必須の多要素認証(MFA)と最小限の承認原則を適用し、重要なブランチでは強制プッシュ機能を無効にする。エンドポイントの100%にプロフェッショナルなウイルス対策ソフトウェアを導入し、高度なEDR/XDRソリューションと組み合わせることで、ステルスマルウェアやファイルレコードを残さないマルウェアを特に標的とした二重の防御層を構築する。
出典: https://www.sggp.org.vn/glassworm-tan-cong-chuoi-cung-ung-phan-mem-post844638.html
コメント (0)