Axiosサプライチェーン攻撃は個別標的型ソーシャルエンジニアリングを利用
Axiosのサプライチェーン攻撃は、メンテナーを個別に標的とした高度なソーシャルエンジニアリングにより、RATを仕込んで悪意あるパッケージをリリースさせた事例である。
キーポイント
標的型ソーシャルエンジニアリングの手口
攻撃者は、実在する企業と創業者を模倣し、偽のSlackワークスペースやLinkedIn投稿、MS Teams会議を用意してメンテナーを騙し、会議中に「システムが古い」と偽ってRATをインストールさせた。
攻撃の目的と結果
インストールされたRAT(Remote Access Trojan)により開発者の認証情報が盗まれ、その権限を悪用して悪意ある依存パッケージが公式リリースに混入された。
攻撃手法の既知性と高度化
攻撃ベクトルはGoogleが文書化したUNC1069の手法を模倣しているが、OSSメンテナーに特化して綿密にカスタマイズされ、非常に説得力のあるプロフェッショナルな演出が施されていた。
OSSメンテナーへの警告と教訓
十分なユーザー基盤を持つオープンソースソフトウェアのメンテナーは、このような標的型攻撃の戦略を認識し、緊急の会議での不用意なインストール要求に警戒する必要がある。
影響分析・編集コメントを表示
影響分析
この事例は、サプライチェーン攻撃が単なる技術的脆弱性の悪用を超え、人間の心理と信頼関係を精密に操作する高度なソーシャルエンジニアリングへ進化していることを示している。OSSメンテナーという重要なインフラ担い手が直接標的となることで、広範なソフトウェア利用者への影響リスクが高まっており、開発者コミュニティ全体のセキュリティプロトコルと意識改革が急務である。
編集コメント
「緊急の会議だから」という日常的なプレッシャーが重大なセキュリティ侵害の引き金となった点が現実的で恐ろしい。OSSメンテナーへの支援体制と教育の重要性を改めて突き付ける事件と言える。
Axiosチームは、先日のリリースでマルウェアを含む依存関係が流出したサプライチェーン攻撃に関する詳細な事後分析レポートを公開しました。この攻撃には、メンテナーの一人を直接狙った巧妙なソーシャルエンジニアリングが関与していました。以下はJason Saaymanによるその手口の説明です:
攻撃手法は、Googleがここで文書化しているものと同様です:https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering
彼らは以下の方法で、この手口を私向けにカスタマイズしました:
* 彼らは、ある企業とその創業者の外観を複製し、その創業者を装って連絡してきました。
* その後、実際のSlackワークスペースに私を招待しました。このワークスペースは企業のCI環境に合わせてブランディングされ、もっともらしい名前が付けられていました。Slackは非常に巧妙に構成されており、LinkedInの投稿を共有するチャンネルまでありました。その投稿はおそらく本物の企業アカウントへのリンクだったのでしょうが、非常に説得力がありました。さらに、その企業のチームメンバーと思しき偽プロファイルに加え、他の多くのOSSメンテナーのプロファイルも存在していたと思われます。
* 彼らは私と打ち合わせを設定しました。会議はMicrosoft Teamsで行われ、複数の関係者が参加しているように見えました。
* 会議中、私のシステムの何かが古いと言われました。私はそれがTeamsに関連するものだと思い、指示されたものをインストールしましたが、それがRATだったのです。
* すべてが極めて綿密に調整され、正当に見え、プロフェッショナルな方法で実行されました。
RAT(Remote Access Trojan)とは、リモートアクセス型トロイの木馬のことです。このソフトウェアによって開発者の認証情報が盗まれ、悪意のあるパッケージを公開するために悪用されました。
これは非常に効果的な詐欺です。私も多くの会議に参加しますが、直前になってWebexやMicrosoft Teamsなどを急いでインストールしなければならない状況に陥ることがよくあります。時間的制約から、遅刻しないようにと、何でもかんでもできるだけ早く「はい」をクリックしてしまいがちです。
この手口で狙われる価値があるほど広く使われているオープンソースソフトウェアのメンテナーは皆、この攻撃戦略について知っておく必要があります。
タグ: open-source, packaging, security, social-engineering, supply-chain
原文を表示
The Axios team have published a full postmortem on the supply chain attack which resulted in a malware dependency going out in a release the other day, and it involved a sophisticated social engineering campaign targeting one of their maintainers directly. Here's Jason Saayman'a description of how that worked:
so the attack vector mimics what google has documented here: https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering
they tailored this process specifically to me by doing the following:
they reached out masquerading as the founder of a company they had cloned the companys founders likeness as well as the company itself.
they then invited me to a real slack workspace. this workspace was branded to the companies ci and named in a plausible manner. the slack was thought out very well, they had channels where they were sharing linked-in posts, the linked in posts i presume just went to the real companys account but it was super convincing etc. they even had what i presume were fake profiles of the team of the company but also number of other oss maintainers.
they scheduled a meeting with me to connect. the meeting was on ms teams. the meeting had what seemed to be a group of people that were involved.
the meeting said something on my system was out of date. i installed the missing item as i presumed it was something to do with teams, and this was the RAT.
everything was extremely well co-ordinated looked legit and was done in a professional manner.
A RAT is a Remote Access Trojan - this was the software which stole the developer's credentials which could then be used to publish the malicious package.
That's a *very effective* scam. I join a lot of meetings where I find myself needing to install Webex or Microsoft Teams or similar at the last moment and the time constraint means I always click "yes" to things as quickly as possible to make sure I don't join late.
Every maintainer of open source software used by enough people to be worth taking in this way needs to be familiar with this attack strategy.
Tags: open-source, packaging, security, social-engineering, supply-chain
関連記事
Gemma 4:バイト単位で最も能力の高いオープンモデル
GoogleがGemma 4を発表した。高度な推論とエージェントワークフロー向けに設計された、これまでで最も知的なオープンモデルである。
GoogleのGemma 4が初めてApache 2.0ライセンスで利用可能に
Googleが最も高性能なオープンモデルファミリー「Gemma 4」をリリースした。4つの新モデルはスマートフォンからワークステーションまで幅広く動作し、初めて完全にオープンなApache 2.0ライセンスで提供される。
Google、オープンモデルファミリーGemma 4を発表
Googleは、高度な推論とマルチモーダル機能を備えたオープンモデルファミリー「Gemma 4」を発表した。