パスワード管理ツールBitwardenの公式CLIがマルウェア感染——インフラ認証情報を狙う標的型攻撃が発覚

【4月26日】パスワード管理ツール「Bitwarden」の公式コマンドラインインターフェース（CLI）を装った悪意あるバージョンが、npmレジストリに93分間公開されていたことが明らかになった。この間、同パッケージをインストールした全ユーザーは正規ツールではなく、バックドアが仕込まれたソフトウェアを受け取っていた。Bitwardenは侵害を検知後、即座にパッケージを削除し、エンドユーザーの保管庫データや本番環境への影響はないと声明を発表した。しかし、セキュリティ企業JFrogの分析によると、本マルウェアはBitwardenの保管庫には関心を示さず、GitHubトークン、npmトークン、SSHキー、シェル履歴、AWS・GCP・Azureの認証情報、GitHub Actionsのシークレット、AIツール設定ファイルなど、チームがソフトウェアを構築・デプロイするためのインフラ認証情報を標的にしていた。問題の核心は、攻撃者がBitwardenのCI/CDパイプライン内のGitHub Actionを侵害した点にあり、インストール時と実行時の両方で悪意あるコードが動作。開発者のマシンにインストールされると、ローカルの認証情報ストアからGitHubアクセス、さらにはそのトークンが到達可能な全領域への侵入口となる。Bitwardenは、今回の事件がCheckmarxが追跡するサプライチェーン攻撃キャンペーンと関連していることを認めている。この事件はより広範な問題を浮き彫りにしている——npmの「信頼できる公開」モデルはOIDCベースの認証でトークン盗難リスクを低減するものの、リリースワークフロー自体が侵害された場合には無力であり、「公式」パッケージであってもリリースプロセスが危険にさらされていれば安全とは言い切れないのだ。

Triaの特徴

お申し込みはこちら！

記事ソース：JFrog