トークンはいろいろな場面で使われます。
暗号資産の領域で使用されることもありますし、ワンタイムパスワードの生成装置のことをこう呼ぶこともあります。
また、APIトークンというと、APIを呼ぶ出すときの認証に利用されるものを指し、アクセストークンと呼ばれることもあるものになります。
このAPIトークンは、いわばパスワードのようなものになりますので、その管理が重要になるものです。
このトークンの盗難から始まる脅威の事例がありました。
ここでは2つ挙げてみましょう。
- @rspack/core and @rspack/cli
@rspack/coreと@rspack/cliはRspackとして開発されています。
NPMの環境で利用されるJavaScriptバンドラーです。
従来この領域ではwebpackが使われることが多かったのですが、このRspackはその領域の、よりモダンで高性能な実装です。
Rustを使って記述されています。
この開発はチームで行われているのですが、そのメンバーの一部のトークンが盗まれてしまいました。
そして、それを使って悪意を持って加工された新しいバージョンをリリースされてしまいました。
加工されたバージョンでは、postinstallの部分を変更され、本来のそのソフトウェアの動作とは何の関係もない、マイナーが設置される動作となっていました。
設置されるマイナーはXMRigです。
このモジュールを更新して使用してしまった場合、脅威アクターのためにMoneroをマイニングする状態となってしまうのです。
問題のバージョンはv1.1.7です。
改修されたのはv1.1.8です。
v1.1.7で動作していた時期がある場合、環境を詳細にチェックしてあるべき状態に戻す必要があります。 - vant
vantはWebサイトを構成する際に利用されるコンポーネントです。
高速動作や高機能が特徴で、多くのサイトで利用されています。
このvantのトークンも盗難の被害にあっていました。
そしてRspackと同じように、悪意ある変更をされたバージョンをリリースされてしまいました。
悪意ある内容の含まれているバージョンは、2.13.3、2.13.4、2.13.5、3.6.13、3.6.14、3.6.15、4.9.11、4.9.12、4.9.13、4.9.14、です。
改修されたのはv4.9.15です。
こちらも、問題のあるバージョンでの利用時期がある場合、環境の確認と対応が必要です。
悪意あるソフトウェアをインストールしてしまうシチュエーションにはいろいろなパターンがあります。
今回の例では、たとえば、環境を最新に保とうとして更新を行ったら、正規のソフトウェアだったものがいつの間にか悪意ある内容の含まれるものになってしまっていた、というものになります。
そして、そのままそんなことになっていたことを知らないで運用を継続していくと、問題のないバージョンにさらにバージョンアップして運用を継続してしまう、ということもあるかもしれません。
配布に悪用されてしまったソフトウェアの部分は更新で改善されるわけですが、問題のあるバージョンが動作していた際に設置されたマルウェアは、この場合、そのまま残ることになりそうです。
環境を最新の状態に保つことは非常に重要です。
しかし、ときには、それだけではカバーしきれない場合も出てくるのですね。
自身の利用している環境をよく知り、必要な対策を継続することが必要です。
ソフトウェアサプライチェーンアタックの怖さを知らされる例でした。
@rspack/core and @rspack/cli v1.1.8
https://github.com/web-infra-dev/rspack/releases/tag/v1.1.8
vant v4.9.15
https://github.com/youzan/vant/releases/tag/v4.9.15
| この記事をシェア |
|
|---|
