Malicious Spam Campaign Downs npm RegiSEO poisoningstry
2023/04/05 InfoSecurity — この1ヶ月の間に、npm レジストリが断続的なサービス拒否 (DoS) 停止に陥っていたことを、セキュリティ専門家たちが明らかにした。そして、ボット対策技術を導入するよう促している。 npm は、世界最大のソフトウェア・レジストリとして知られており、200万以上の JavaScript パッケージがダウンロードできるようになっている。Checkmarx の Head of Software Supply Chain Security である Jossef Harush Kadouri は、「過去にもスパム・キャンペーンによる被害があったが、この1ヶ月間における被害は、それらとは比較にならないほどの酷いものであった」と述べている。
昨日のブログで Kadouri は、「どうやら攻撃者は、様々な悪意のキャンペーンのための SEO ポイズニングを仕掛ける簡単なターゲットとして、未検証のオープンソース・エコシステムに目をつけたようだ。名前が使用されていない限り、彼らは無制限にパッケージを公開できる。npm で公開されるパッケージ数は、通常は約 800,000 件だが、この1ヶ月で 1,400,000 件を超えた」と説明している。
彼は、「これらの多くは、脅威アクターが作成した悪意の Web サイトにリンクすることだけが目的の “空の” パッケージだ。npm のようなオープンソースのレジストリは、検索エンジンで高い評価を得ているため、新しいパッケージはインデックスの上位に表示され、ユーザーの目に留まりやすくなっている。自動化されたスクリプトが生み出す止められないアップロードにより、npm は不安定になり、Service Unavailable エラーが散発的に発生するようになった。この1週間で、私や同僚は、そのような光景を何度も目撃している」と述べている。
Kadouri は、「我々は、いくつかのキャンペーンをマッピングしてみた。現時点では確認できないが、それらはすべて同じ脅威アクターにより運営されている可能性が高いと確信している。こうした自動化されたキャンペーンを抑制するために、特に新規ユーザーの登録プロセスにおいて、ボット対策技術を活用するよう npm に通達した 。我々のソフトウェア・サプライチェーン・エコシステムを、脅威アクターたちが汚染することへの戦いは、攻撃者が常に適応し、新しく予期せぬ技術で驚かせるため、引き続き困難だ」と締め括っている。
このところ、npm の話題がないと思っていたら、こんな事になっていたのですね。それにしても、SEO ポイズニングを仕掛ける簡単なターゲットにされて、ボットに攻撃されるなんで悲し過ぎます。早く正常化されることを祈ります。よろしければ、いかの関連記事も、ご参照ください。
2023/02/10:NPM に悪意のパッケージ aabquerys
2023/02/01:悪意の Python-drgn と bloxflip に注意
2023/01/09:Auth0 が JsonWebToken の脆弱性を FIX
IoT OT Security News 
You must be logged in to post a comment.