　オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。

イメージ画像（Adobe Stock）

　Axiosのリードメンテナー、ジェイソン・サーイマン氏は事件後、巧妙な手口にだまされて遠隔操作マルウェアをインストールさせられたと告白していた。サプライチェーンのセキュリティ対策を手掛ける米Socketによると、Axiosの1件をきっかけに、オープンソースのJavaScript実行環境「Node.js」のエコシステムにかかわるメンテナーから、同じようなソーシャルエンジニアリング攻撃の標的にされたという報告が相次いでいる。

　「信頼性が高く影響が大きいオープンソースのメンテナーを標的とする、組織的な大規模攻撃」が発生しているとSocketは見る。

同じ手口の攻撃が多発

　Socketのフェロス・アブハディジェCEOも標的にされた一人だった。同氏は「WebTorrent」など何十億回もダウンロードされているnpmパッケージの開発者。ある日、「Openfort」という社名をかたる相手からSlackの招待メッセージが届き、「OpenfortとSocketのコラボレーションを模索したいと思っています。私たちの製品は非常に補完的です」とチャットに誘われた。

　他にも同じようなメッセージを受け取ったSocketのエンジニアが何人もいることが分かった。声をかけられたのはいずれも、月に何十億回もダウンロードされているパッケージのメンテナーだった。

　別の開発者のスコット・モット氏も、SocketのCEOに届いたのと同じ「Openfort」の社名を名乗る相手から、Slackへの招待メッセージが届いたことを明らかにした。モット氏は、Node.jsプロジェクトで広く使われているパッケージ「dotenv」の開発を手掛けている。

　JavaScriptパッケージ「mocha」などのメンテナーであるペレ・ウェスマン氏も、Axiosの侵害事件の数週間前に、ほぼ同じような経験をしたと打ち明けた。

　ウェスマン氏の場合、ポッドキャストの番組収録に招かれ、一緒にインタビューを受けるという数人と共にグループに追加された。準備のためと称する質問を受けた後、ストリーミングプラットフォームを偽装したWebサイト経由でビデオ通話に招待されたという。

　ところが通話が始まると、もっともらしい技術エラーメッセージが表示され、解決のためと称してネイティブアプリのインストールを促された。しかし、ダウンロードしたアプリに情報を盗むマルウェアが仕込まれていることに気づいたウェスマン氏は、実行を思いとどまった。

　すると相手はウェスマン氏のターミナルでcurlコマンドを実行させようとしたが、失敗するとその後連絡が途絶え、会話は全て削除されたという。

　これとは別に、ウェスマン氏はOpenfortの創業者を名乗る相手から、LinkedIn経由でSlackの招待メッセージも受け取っていた。

　Axiosのサーイマン氏に対して使われたのも、Slackワークスペースを悪用する手口だった。この時の相手もOpenfortの名をかたっていたという。

エコシステムの信頼を悪用

　　　　　　 1|2 次のページへ