Researchers Uncover 7000 Malicious Open Source Packages
2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを3月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。
Sonatype は、「パッケージの名前である microsoft-helper は、悪意のファイルであることを隠すためのもので、もしかしたら、すでに所有している人気のパッケージの従属品として追加することを目的としているのかもしれない。しかし、開発者名は略称で構成されており、正規の開発者のものであることを装おうともしていない」と説明している。
Sonatype は、「この悪意のパッケージはセカンドステージのペイロードを搭載しているため、全てをゼロから始める必要がなく、より簡単にコードを変更できることを意味し、脅威アクターの戦術に柔軟性を提供する」と述べている。
また、Sonatype が先月に発見した reverse-shell パッケージの開発者は、microsoft-helper の開発者とは異なり、その意図を隠そうとしていない。このパッケージは、スペイン市場向けの Malware-as-a-Service (MaaS) で、GitHub 上で悪意のファイルをホストしている。
Sonatype は、「”reverse-shell” というパッケージ名は、一見すると悪意がないように見える。しかし、GitHub から実行されるファイルである、”bypass.py” や “WindowsDefender.py” は悪意しか感じられない。悪意のファイルを公開リポジトリでホストすることで、脅威アクターたちによるファイルのコントロールが容易になる。つまり、悪意のファイルを公開リポジトリでホストすることで、より多くのコントロールや、削除/アップグレード/ペイロードのバージョン管理さえも可能になる」と説明している。
さらに同社は、proxier-api と nitro-api66 という、Discord トークンを盗むために設計され、厳重に難読化された2つのパッケージについても取り上げている。上述のパッケージは全て、PyPI (Python Package Index) リポジトリで発見された。
Sonatype は、「この種のパッケージは、不注意でダウンロードやインストールを行う可能性のある、開発者に深刻な脅威を与えるため、懸念すべきものである。潜在的な危険性を考慮し、PyPI チームに報告したところ、迅速かつ的確に削除してくれた」と述べている。
かなりの数の悪意のパッケージを、Sonatype が発見しているのですね。これだけ、攻撃の対象が広がり、サイバー犯罪の規模も拡大すると、サイバーセキュリティ企業にも得意分野ができてくるでしょうし、すれにより、分業化が進んでいくだと思えます。なお、文中にある PyPI の “reverse-shell” の件ですが、2023/04/12 の「PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?」で、詳細が解説されています。
IoT OT Security News 
You must be logged in to post a comment.