毎週約400万回ダウンロードされる人気npmパッケージ、乗っ取りの恐れ

Illustriaは2月16日(現地時間)、「illustria Discovers Account Takeover Vulnerability in a Popular Package, Affecting 1000+ Organizations｜by Bogdan Kortnov｜Feb, 2023｜illustria.io」において、人気のnpmパッケージがアカウント乗っ取り攻撃に対して脆弱であると伝えた。そのnpmパッケージは毎週400万回近くダウンロードされており、欠陥が悪用された場合、1000以上の組織に影響を及ぼすと報告している。

Illustriaの調査により、人気のnpmパッケージのメンテナ1人の期限切れドメインを回復させることで、アカウント乗っ取りが成功することがわかった。npmではセキュリティ保護のため、ユーザーは1つのアカウントにつき1つの有効なメールアドレスしか持てないよう制限されている。しかしながら、回収したドメインを利用してパッケージに関連するGitHubアカウントのパスワードをリセットすることで、乗っ取りが可能であることが明らかにされている。

GitHubアカウントにアクセスできれば、プロジェクトのパイプラインから継続的インテグレーション/継続的デプロイ(CI: Continuous Integration/CD: Continuous Deployment)オートメーショントークンを抽出し、メンテナアカウントに代わって新たな悪意のあるパッケージを公開するために使用することができると説明されている。