Malicious Npm Package Uses Typosquatting, Downloads Malware
2023/02/10 InfoSecurity — オープンソース JavaScript の npm リポジトリで、タイポスクワッティングを用いて悪意のコンポーネントをダウンロードさせる、aabquerys というパッケージが発見された。今回の発見は、ReversingLabs のセキュリティ研究者によるもので、aabquerys は感染済のシステムに対して、第2段階/第3段階のマルウェア・ペイロードをダウンロードすることも可能だとされる。
木曜日に発表された ReversingLabs のアドバイザリでは、「パッケージ名である “aabquerys” は、正規の npm モジュール abquery に似ており、タイポスクワッティングで混乱を招いて開発者を騙し、正規のパッケージの代わりに悪意のパッケージをダウンロードさせようとする行為の証拠となる」と説明されている。
同社の脅威研究者 Lucija Valentic と Karlo Zanki による技術文書によると、悪意のパッケージは2つのファイルで構成されており、1つは JavaScript 難読化ツールでスティルス性を高めているとのことだ。
研究者たちは、「オープンソースコードは、誰もが閲覧できることを目的としているため、オープンソース・モジュール内の機能の偽装/隠蔽の行為は調査されるべきだ。aabquerys の場合、問題のスティルス性コードは、簡単に難読化を解除できた。その結果、明らかに悪意の動作をする JavaScript ファイルが発見された」と述べている。
ReversingLabsによると、このファイルを PC で開くと、Web ブラウザの偽クラッシュ・メッセージと、いくつかのマルウェア・キャンペーンで使用されている、第2段階のマルウェア・ダウンロードにつながるリンクが表示された。このファイルは、第3段階の悪意のコンポーネントをダウンロードする、DLL (Dynamic Link Library) ファイルをサイドロードするものだった。
この、Demon.bin と名付けられたファイルは、様々な RAT (Remote Access Trojan) の機能を持つ悪意のエージェントである。このマルウェア作者である C5pider が、オープンソースのポストエクスプロイト型 Command and Control (C2) フレームワーク Havoc を使用して、開発したものだと報告されている。
Valentic は、「npm は、aabquerys パッケージを他の悪意のパッケージとともに、リポジトリから削除した」と述べている。
研究者たちは、「この悪意のパッケージや、他のパッケージを担当するメンテナが発見したことは、npm/PyPI/GitHub などのオープンソース・リポジトリに、悪意のパッケージが潜むリスクが高まっていることだ。この種のリスクにより、開発組織はオープンソースのサプライチェーン内で、悪意/疑惑の行動の兆候に対して、もっと注意を払うことが要求される」と述べている。
例として Sonatype が挙げるのは、数週間前に発表した調査結果における、400以上の悪意の npm パッケージの発見や、数十のパッケージの PyPI リポジトリでの発見である。
npm だけではなく、PyPI と HotHub でも、この種の悪意のパッケージが大量に発見されています。それらが発見される度に、報告/削除が行われていますが、また新たな悪意のパッケージが登場するという展開です。関連記事は、以下のとおりです。
2023/02/01:NPM/PyPI に悪意のパッケージ
2022/11/30:npm 悪意のライブラリ侵入経路が判明
2022/09/22:Tailwind CSSを模倣:悪意のパッケージとは?
よろしければ、npm で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.