npmワーム「CanisterWorm」が新たな改ざんパッケージを拡散、正規アカウントを乗っ取りトークン窃取とバックドア設置

JavaScript開発者コミュニティを標的とした巧妙なサプライチェーン攻撃「CanisterWorm」の被害が拡大している。セキュリティ研究者らは、正規のnpmパッケージ公開者アカウントを侵害し、その権限を悪用して新たな改ざんパッケージをリポジトリに忍び込ませる、新たな攻撃キャンペーンを特定した。このワーム化した攻撃は、一度侵入に成功すると自動的に他の正規パッケージも改ざんし、感染の連鎖を引き起こす可能性がある。

攻撃の核心は、侵害された正規アカウントの信頼性を悪用することにある。攻撃者は窃取した認証情報を用いて、一見無害なアップデートのように見えるパッケージを公開する。しかし、これらの改ざんパッケージには、実行環境から機密トークンや認証情報を窃取する機能や、外部からコマンドを受け付けるバックドアが仕込まれている。これにより、依存関係としてこれらのパッケージを取り込んだ無数のアプリケーションとそのユーザーが危険に晒される。

セキュリティ企業JFrogは、この脅威に対処するための具体的な手順を公開した。開発者や組織は、npmアカウントの認証情報を直ちに更新し、多要素認証を強制することが急務だ。さらに、影響を受ける可能性のある特定のサービスをシステムから削除し、依存関係の監査を徹底する必要がある。この事態は、オープンソースエコシステムの根本的な脆弱性——パッケージメンテナのアカウントセキュリティが全体のセキュリティを左右する点——を改めて浮き彫りにした。開発者は、信頼する依存パッケージの更新でさえ、常に警戒して検証する必要に迫られている。