アラート | KuCoinセキュリティチームが取引所ユーザーを狙ったサプライチェーン攻撃を検出
導入
2025年2月12日、KuCoinのセキュリティチームは、自社開発のセキュリティスキャンプラットフォームを通じて、主要な中央集権型取引所(CEX)のユーザーを狙ったサプライチェーン攻撃を検出しました。チームは迅速に対応し、依存関係パッケージに組み込まれた悪意のある動作を分析しました。現在までに、悪意のある依存関係パッケージは数百回ダウンロードされています。KuCoinのセキュリティチームは、この悪意のある依存関係をNPMの公式チームに報告し、ユーザーが注意を払うよう警告するため、このアラートを発行しています。
サンプル分析
サンプル行動
KuCoinのセキュリティスキャンプラットフォームは、公式NPMリポジトリ内でKuCoin API SDKに偽装した依存関係パッケージを検出しました。npm経由でインストールされると、このパッケージはユーザーのサーバーまたはローカルマシンに保存されているシークレットキーを取得し、それを悪意のあるドメインに送信します。 http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
サンプル分析
KuCoinのサンドボックススキャンプラットフォームによる分析により、この悪意のある依存関係がNPM公式リポジトリ上でKuCoinおよびKrakenのSDK依存関係パッケージとして偽装していたことが判明しました。
このようなタイプの依存関係は、ユーザーが偽の依存関係パッケージをインストールするようにだますために、難読化された名前を使用します。インストールプロセス中に、これらは悪意のあるコマンドを組み込み、ユーザーのローカル環境またはサーバーから秘密鍵ファイルを抽出し、DNSlogを通じてデータを悪意のあるドメインに送信します。
悪意のある行為の具体的なトリガー点は以下の通りです。依存パッケージのプリインストールフェーズ中に悪意のあるコマンドが実行されます。
この悪意のあるソースのリポジトリにあるすべての10の依存関係パッケージは同じ挙動を示しています。
攻撃者プロファイル
調査により、攻撃者に関連するNPM公式リポジトリでの以下の登録詳細が明らかになりました。
ユーザー名: superhotuser1
メール: tafes30513@shouxs[.]com
verifymail.ioによると、ドメインshouxs[.]comは一時的なメールサービスと関連しており、攻撃者は追跡対策の技術に精通した熟練したハッカーであることを示唆しています。
脅威の説明
サプライチェーン攻撃は重大なリスクを伴います。これらは発展するにつれて、多くのプロジェクトが多数のサードパーティパッケージに依存しているため、その影響が拡大します。一度悪意のあるパッケージが公開され広く使用されると、その影響は急速に拡散されます。悪意のある依存関係は、環境変数、APIキー、ユーザーのデータなどの機密情報を盗み、データ漏洩を引き起こす可能性があります。また、ファイルの削除、データの暗号化(ランサムウェア)、システムの破壊などの破壊的な行動を実行することもできます。さらに、攻撃者はパッケージ内にバックドアを仕込むことで、影響を受けたシステムに長期にわたる制御を維持し、さらなる攻撃を可能にすることもあります。
KuCoinおよびKrakenを狙った悪意のある依存関係は、ユーザーのログインキーを盗みます。ユーザーがユーザー名とパスワードを使用して自宅のパソコンやサーバーにログインする場合、サーバーが乗っ取られるリスクが顕著に高まります。
KuCoinのセキュリティチームがこのアラートを発行した時点では、悪意のある依存関係が何百回もダウンロードされていました。ダウンロードの統計は以下の通りです。
kucoin-production、ダウンロード数: 67
kucoin-main、ダウンロード数: 70
kucoin-internal、ダウンロード数: 63
kucoin-test、ダウンロード数: 69
kucoin-dev、ダウンロード数: 66
kraken-dev、ダウンロード数: 70
kraken-main、ダウンロード数: 65
kraken-production、ダウンロード数: 67
kraken-test、ダウンロード数: 65
kraken-internal、ダウンロード数: 64
IOC
|
タイプ |
価値 |
備考 |
|
ドメイン |
悪意のあるDnslogサブドメイン |
|
|
悪意のある依存関係ソースURL |
||
|
インストールパッケージハッシュ |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
悪意のある依存関係パッケージのSha256値 |
対応策
攻撃者が悪意のある依存関係をアップロードしてからKuCoinのセキュリティチームがそれを検出するまで、1日も経っていません。KuCoinのセキュリティチームはすでにこの問題をNPMの公式チームに報告していますが、さらなる調査および削除にはある程度の時間がかかる可能性があります。その間、KuCoinはユーザーに注意を促し、侵害を防ぐためにこの公的な警告を発行しました。
免責事項: このページは、お客様の便宜のためにAI技術(GPT活用)を使用して翻訳されています。最も正確な情報については、元の英語版を参照してください。