自己拡散するShai-Hulud

Shai-Huludは、ワーム型マルウェアです。
つい先日も大きく話題になっていたs1ngularityというインフォスティーラー型マルウェアを展開していた脅威アクターが関わっているものとみられています。
このShai-Huludですが、凶悪な機能を搭載して活動していることが確認されています。
およそ次のような流れで動作します。

• Harvest
  ホストとCI環境をスキャンして、secret（資格情報です。process.env、TruffleHog によるスキャン、AWSやGCPなどの資格情報を収集します。）を探します。
• 侵入（1） — GitHubリポジトリ
  侵害されたアカウントの下にShai-Huludという名前のリポジトリを作成し、システム情報、環境変数、収集された秘密を含むJSONダンプをコミットします。
• 侵入（2） — GitHub Actions → webhook
  webhook[.]siteを介してデータ抽出メカニズムを備えた新しいGitHub Actionsを作成しようとします。
• 伝播
  見つかった有効なnpmトークンを使用して、侵害されたメンテナーが制御するパッケージを列挙し、更新を試みます（サプライチェーンの伝播）。この部分も自動実行です。
• 増幅
  被害者のアクセス可能なリポジトリを反復処理して公開するか、さらなる実行とリークをトリガーするワークフロー/ブランチを追加します。
  この部分も自動実行です。

これまでいろいろなマルウェアが自己拡散の機能を使って展開されてきました。
これらと比較しても、このShai-Huludの自己拡散は凶悪です。
攻撃者は感染させるパッケージを選ぶ必要すらなく、単一の環境が侵害されると、感染者のメンテナンスするソフトウェアに自分を埋め込み、ワームはそのメンテナー自身の公開権限を利用して感染者のメンテナンスするソフトウェアの利用とともに連鎖的に広がる仕組みを自動的に展開していくのです。
ソフトウェアサプライチェーンアタックです。
すでに膨大な数の公開されているパッケージに感染してしまっていることが確認されています。

セキュリティ研究者によってはこの脅威への対策として利用するソフトウェアのバージョンを固定することを推奨しています。
これは正しいのでしょうか。
暫定的な対処としては効果があるのかもしれませんが、全体を考えるとこれでよいとは思えません。
始まってしまうと猛烈に広がってしまう脅威です。始まってしまわないようにしていく方法を考えて実践していくことが必要に思えます。

S1ngularity/nx attackers strike again
https://www.aikido.dev/blog/s1ngularity-nx-attackers-strike-again