Npm Packages Used to Distribute Phishing Links
2023/02/22 InfoSecurity — 複数のユーザー・アカウントから、数時間のうちに 15,000以上のスパム・パッケージを、OSS リポジトリ npm にアップロードするという脅威が確認されている。2023年2月21日に、JavaScript 開発者である Jesse Mitchell は、「npm に対するスパム攻撃を検知した。何万ものパッケージがレジストリに殺到し、トップページを占拠している」と、Twitter に投稿している。続いて、Checkmarx の Cybersecurity Expert である Yehuda Gelb が、さらに調査/分析を行い、その結果についてアドバイザリで述べている。
Gelb は、「さらなる調査により、サイバー攻撃者がスパム技術を利用して、readme.md ファイルにフィッシング・キャンペーンへのリンクを取り込んだ、複数のパッケージを OSS エコシステムに流し込むという、これまでに繰り返されてきた攻撃手法だと判明した」と説明している。
Checkmarx のアドバイザリは、「一連の悪意のパッケージは、プロジェクトの説明と名前が類似している、自動生成プロセスを用いて作成されたたようだ。これらのパッケージには、その生成で使用されたものと、まったく同じ自動化コードが含まれているようだ。おそらく、攻撃者が誤ってアップロードしたものと思われる。また、生成スクリプトには、攻撃者が攻撃フローで使用した、有効な認証情報も含まれている」とは述べている。
Gelb は、「このキャンペーンの背後にいる脅威者は、獲得した紹介報酬から利益を得るために、紹介 ID を用いる小売 Web サイトを参照していた。それらのフィッシング・サイトを調査していると、そのうちのいくつかは、リファーラル ID を使用した e-Commerce サイトにリダイレクトされていることに気づいた。つまり、このようなフィッシング・キャンペーンを展開する脅威アクターたちが、金銭的な利益を得る可能性があることが浮き彫りにされている」とセキュリティ研究者は述べている。
彼は、「この悪質なキャンペーンの背後にいる攻撃者は、Checkmarx が 2022年12月に検出した、従来からのスパム攻撃と同じに見える。攻撃者は常に適応し、新規かつ予想外のテクニックで業界を揺るがしている。ソフトウェア・サプライチェーンのエコシステムを汚染する脅威アクターとの戦いは、困難なものであり続けている。しかし、私たちが協力しあえれば、攻撃者たちの一歩先を行き、エコシステムを安全に保つことが可能になる」と述べている。
先日には ReversingLabs が、npm上でタイポスクワッティングを用いる、悪意のパッケージを発見しているが、そのた数週間後に Checkmarx のアドバイザリが発表された。
この驚異アクターにとって、どのような利益が生じるのか、そのあたりが分からないので、文中で指摘されているように、誤ってアップロードしてしまったのでしょうね。もちろん、フィッシング・キャンペーンへのリンクなどの、悪意が埋め込まれたパッケージのはずなので、もっと時間をかけながらアップロードする意図だったのでしょう。最近の、npm 関連の記事は、以下のとおりです。よろしければ、ご参照ください。
2023/02/10:NPM に悪意のパッケージ aabquerys
2023/02/01:NPM に悪意のパッケージ:bloxflip に要注意
IoT OT Security News 
You must be logged in to post a comment.