JavaScript – Page 2 – IoT OT Security News

PDF.js の深刻な RCE 脆弱性 CVE-2024-4367：PoC エクスプロイトが提供

Researchers Detail Code Execution Vulnerability in Popular PDF Viewer, PDF.js

2024/05/21 SecurityOnline — Mozilla が管理する JavaScript ベースの PDF ビュワーとして広く利用されている PDF.js に、深刻度の高い脆弱性 CVE-2024-4367 が存在することが発見されている。そして、この CVE-2024-4367 に対する、技術的詳細と PoC エクスプロイト・コードが、Codean Labs のセキュリティ研究者たちにより公開された。この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルが開かれた際に、任意の JavaScript コードを実行できる。この欠陥は、Firefox バージョン 126 未満を実行している全 Firefox ユーザーと、プレビュー機能に PDF.js を利用する、数多くの Web／Electron ベース・アプリに影響を及ぼす。

Chrome の深刻な脆弱性 CVE-2024-4947：PoC エクスプロイトが提供された

PoC Exploit Published for Chrome 0-day CVE-2024-4947 Vulnerability

2024/05/19 SecurityOnline — 先日にパッチが適用された Google Chrome のゼロデイ脆弱性 CVE-2024-4947 に対して、PoC エクスプロイト・コードの存在が表面化した。したがって、ユーザーにとって重要なことは、このブラウザを最新バージョンにアップデートすることである。先週に Google は、Chrome の緊急セキュリティ・アップデートを発表し、野放し状態で活発に悪用されている深刻なゼロデイ脆弱性に対してパッチを適用した。この深刻度の高い脆弱性は、Chrome の V8 JavaScript エンジンのタイプ・コンフュージョンに起因するものであり、Kaspersky の研究者 Vasily Berdnikov と Boris Larin により発見された。

Google Chrome の深刻な脆弱性 CVE-2024-4947 が FIX：悪用を確認

Google fixes third actively exploited Chrome zero-day in a week

2024/05/15 BleepingComputer — Google Chrome のセキュリティ・アップデートが緊急リリースされ、この１週間で攻撃で悪用された３つ目のゼロデイ脆弱性への対処が完了した。5月15日 (水) 公開されたセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2024-4947 が悪用されていることを認識している」と述べている。同社は、Mac／Windows 用の 125.0.6422.60／.61 と、Linux 用の 125.0.6422.60のリリースにより、このゼロデイ欠陥を修正した。新バージョンは、今後の数週間をかけて、Stable Desktop チャンネルに登録されている全ユーザーに配布される。

Google Chrome の脆弱性 CVE-2024-4761 が FIX：野放し状態での悪用を確認

CVE-2024-4761: Zero-Day Vulnerability Patched in Google Chrome

2024/05/13 SecurityOnline —Google Chrome に存在する、深刻度の高いゼロデイ脆弱性が対処された。脆弱性 CVE-2024-4761 は、Chrome の JavaScript エンジン V8 で発見された、Out of Bounds Write の欠陥に起因するものだ。この重大なセキュリティ問題は、匿名の研究者により発見／報告され、最新のブラウザが直面する継続的な脅威が浮き彫りにされた。

Next.js Framework の脆弱性 CVE-2024-34350／34351 が FIX：ただちにパッチを！

CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework

2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。

Deno の脆弱性 CVE-2024-34346 が FIX：不適切なパーミッションによる権限昇格

CVE-2024-34346: Deno Vulnerability Allows Privilege Elevation

2024/05/08 SecurityOnline — セキュリティに特化したアーキテクチャで知られる、人気の JavaScript／TypeScript／WebAssembly ランタイムである Deno を使用している、開発者およびシステム管理者は、先日のアップデートで対処された、深刻な脆弱性に注意する必要がある。この脆弱性 CVE-2024-34346 (CVSS：8.5) は、特権ファイルの誤操作による権限昇格を可能にするため、重大なリスクをもたらす。

PDF.js／React-PDF の脆弱性 CVE-2024-4367／34342 が FIX：ただちにアップデートを！

CVE-2024-4367 & CVE-2024-34342: JavaScript Flaws Threaten Millions of PDF.js and React-PDF Users

2024/05/07 SecurityOnline — HTML5 で開発され Mozilla がサポートする PDF ビューア PDF.js と、React アプリケーション内で PDF を表示する npm パッケージ React-PDF に、深刻なセキュリティ上の欠陥が確認された。これらの人気ソフトウェアの脆弱性は、任意の JavaScript コードの実行を可能にするものであり、数百万人のユーザーを危険にさらしている。

CISA KEV 警告 24/04/25：Microsoft Windows Print Spooler の脆弱性 CVE-2022-38028 を追加

CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog

2024/04/25 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名：Forest Blizzard／Fancybear／Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。

Google Chrome の複数の脆弱性が FIX：CVE-2024-4058 は Critical の評価

Google Patches Critical Chrome Vulnerability

2024/04/24 SecurityWeek — 4月22日 (月) に Google が発表したのは、深刻な４件の脆弱性を含むセキュリティホールを修正する、Chrome 124 へのアップデートである。その中で、最も深刻な脆弱性である CVE-2024-4058 は、ANGLE グラフィックス・レイヤー・エンジンに存在する、タイプ・コンヒュージョンのバグだと説明されている。この脆弱性は、リモートからの悪用と、限られたユーザー操作による任意のコード実行、サンドボックス・エスケープの可能性を生じるため、深刻度 Critical と評価されている。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

OpenJS Foundation／OpenSSF の共同アラート：OpenJS が乗っ取りの標的にされた

OpenJS Foundation Targeted in Potential JavaScript Project Takeover Attempt

2024/04/16 TheHackerNews — 先日に発覚したオープンソースの XZ Utils バックドア騒動と似た手口で、信頼を悪用して OpenJS Foundation を標的とし、乗っ取ろうとする試みが、セキュリティ研究者たちにより発見された。OpenJS Foundation と Open Source Security Foundation (OpenSSF) は共同アラートの中で、「OpenJS Foundation Cross Project Council は、GitHub 関連のメールと重複するが、名前が異なる一連の不審なメールを受け取った」と述べている。

Node.js の脆弱性 CVE-2024-27983／27982 が FIX：クラッシュと HTTP スマグリングの可能性

Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities

2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x／v20.x／v21.x に存在する、２つの脆弱性に対処するための重要なセキュリティ更新プログラムである。１つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、２つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。

WordPress File Manager プラグインの脆弱性 CVE-2024-1538 が FIX：影響は 100万サイトに及ぶ

CVE-2024-1538: Critical WordPress Plugin Flaw Exposes Over 1 Million Sites – Patch Immediately!

2024/03/25 SecurityOnline — WordPress 用 File Manager プラグインに、深刻なセキュリティ脆弱性 CVE-2024-1538 (CVSS：8.8) が発見された。このプラグインは、100万以上のアクティブなインストール数を誇るものであり、WordPress ダッシュボード内で Web サイトの管理者が、ファイルやフォルダをダイレクトに管理するために用いられている。

WordPress Popup Builder プラグインの脆弱性 CVE-2023-6000：3,300 以上のサイトが悪意のコードに感染

Hackers exploit WordPress plugin flaw to infect 3,300 sites with malware

2024/03/10 BleepingComputer — 脅威アクターたちは、Popup Builder プラグインの古いバージョンの脆弱性を悪用して WordPress サイトに侵入し、3,300 以上の Web サイトを悪意のコードで感染させている。攻撃に利用されているのは、Popup Builder のバージョン 4.2.3以降に存在する、XSS (Cross-Site Scripting) の脆弱性 CVE-2023-6000 だ。この脆弱性が初めて公開されたのは、2023年11月のことである。

CISA が OSS セキュリティ・サミットを開催：Principles for Package Repository Security とは？

CISA Outlines Efforts to Secure Open Source Software

2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、２日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。

Apache Ambari の XSS 脆弱性 CVE-2023-50378 が FIX：直ちにアップデートを！

CVE-2023-50378: Apache Ambari Stored Cross-Site Scripting Vulnerability

2024/03/01 SecurityOnline — Hadoop クラスタの複雑な管理を簡素化するツールである Apache Ambari に、蓄積型 XSS (Cross-Site Scripting) の脆弱性 CVE-2023-50378 が発見された。この脆弱性が悪用されると、エントリー・ポイントが、攻撃者により予期せぬものに改ざんされる可能性がある。

Google Magika がオープンソース化：AI でファイルの安全性を識別

Google Open Sources Magika: AI-Powered File Identification Tool

2024/02/17 TheHackerNews — Google は、人工知能 (AI) を搭載したファイル識別ツールである Magika をオープンソース化することを発表した。同社は、「Magika は、従来のファイル識別方法を凌駕するものであり、VBA／JavaScript／Powershell などの、従来は識別が困難であったが潜在的に問題のあるコンテンツに対して、全体として 30％の精度向上と、最大で 95％の高精度を提供する」と述べている。

Chrome のゼロデイ脆弱性 CVE-2022-4262：詳細な情報と PoC エクスプロイトが公開された

Google Chrome Zero-Day PoC Code Released

2024/02/11 SecurityOnline — Google Chrome に影響を及ぼすゼロデイ脆弱性 CVE-2022-4262 (CVSS 8.8) の、PoC (Proof-of-Concept) エクスプロイト・コードと技術的詳細が公開された。この脆弱性の核心は、Chrome ブラウザを動かす重要なコンポーネントである、Chrome V8 JavaScript エンジンにある。この深刻度の高い、タイプ・コンフュージョンの脆弱性は、Google TAG (Threat Analysis Group) の Clement Lecigne により明らかにされた。タイプ・コンフュージョンの脆弱性とは、ソフトウェアが渡されたオブジェクト・タイプを検証できない場合に発生し、予測不可能な動作を引き起こすものだ。

CISA KEV 警告 24/02/06：Google Chrome の脆弱性 CVE-2023-4762 の悪用を確認

CISA warns of a patched Chrome flaw now exploited in attacks

2024/02/07 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、広く使用されている Google Chrome Web ブラウザに存在し、積極的に悪用されるセキュリティ脆弱性に関して警告を発した。この脆弱性 CVE-2023-4762 の悪用に成功した攻撃者は、リモートから任意のコード実行を可能にし、ユーザーに深刻なリスクをもたらす。その影響として甚大な被害が予測されるため、個人および組織のユーザーは緊急の対応を迫られている。

WordPress の 7,100 サイトを侵害する Balada：Popup Builder の脆弱性 CVE-2023-6000 を武器化

Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability

2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート／宝くじ当選／プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。

Apache DolphinScheduler の脆弱性 CVE-2023-49299 が FIX：ただちにパッチを！

Apache DolphinScheduler Hit by Severe CVE-2023-49299 Flaw

2023/12/31 SecurityOnline — 急速に進化するデータ・オーケストレーションの世界において、Apache DolphinScheduler は、複雑なデータ・ワークフローの処理方法に革命を起こす先駆者として登場した。DolphinScheduler のアジャイルでローコードな高性能ワークフロー機能と、堅牢なユーザー・インターフェイスで有名であり、データ・パイプラインの複雑なタスクの依存関係を巧みに管理し、数多くのジョブタイプを速やかに提供してきた。しかし、先日に発見された脆弱性により、セキュリティの堅牢性が試されている。

Magecart キャンペーンの現状：不正な WordPress プラグインでカード情報を窃取

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft

2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、ｅコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。

GootLoader マルウェアの新たな亜種：検出回避と横展開を強化している

New GootLoader Malware Variant Evades Detection and Spreads Rapidly

2023/11/07 TheHackerNews — GootBot と呼ばれる GootLoader マルウェアの新たな亜種は、侵害したシステム上で容易に横方向へ移動し、検出を回避することが判明した。IBM X-Force の研究者である Golo Mühr と Ole Villadsen は、「GootLoader グループが、攻撃チェーンの後半ステージに独自のカスタム・ボットを導入した理由は、CobaltStrike や RDP のような C2 用の既製ツールを使用した場合の、検出回避の試みにある。この新しい亜種は軽量かつ効果的なマルウェアであり、攻撃範囲はネットワーク全体へと急速に拡大し、さらなるペイロードの展開へといたる」と述べている。

オンライン・ストアの 404 Not Found ページを改ざん：進化する Magecart アクターの戦術とは？

Hackers modify online stores’ 404 pages to steal credit cards

2023/10/09 BleepingComputer — Magecart における新たなカード・スキミング・キャンペーンは、オンライン小売業者の Web サイトの 404 エラー・ページを乗っ取り、そこに悪質なコードを隠し持ち、顧客のクレジット・カード情報を盗み出すというものだ。この手口は、Akamai Security Intelligence Group の研究者が観測した、３つの亜種のうちの１つに、この手口がある。他の、２つの手口は、HTML イメージ・タグの “onerror” 属性、イメージ・バイナリにコードを隠し持ち、Meta Pixel のコード・スニペットとして表示させるものだ。Akamai によると、このキャンペーンは Magento と WooCommerce のサイトに焦点を当てたものであり、被害者の中には、食品や小売の有名企業に関連する人々もいるという。

Citrix NetScaler の脆弱性 CVE-2023-3519：ログイン認証情報を採取する JavaScript

Hackers hijack Citrix NetScaler login pages to steal credentials

2023/10/09 BleepingComputer — Citrix NetScaler Gateway において、最近に発見された脆弱性 CVE-2023-3519 を悪用するハッカーたちが、ユーザー認証情報を盗み出すという、大規模なキャンペーンを展開している。Citrix NetScaler ADC／NetScaler Gateway に存在する脆弱性は、2023年7月にゼロデイとして発見された、認証を必要としないリモートコード実行のバグである。８月の初旬までの期間において、この脆弱性は、少なくとも 640台の Citrix サーバのバックドアとして悪用され、その数は８月中旬の時点で 2,000台に達している。

Python に潜むマルウェア：272種類のパッケージと 75,000回のダウンロード

Hundreds of malicious Python packages found stealing sensitive data

2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、４月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。

GitHub における偽装 Dependabot：悪意のコードをコミットさせる新たなキャンペーン

GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions

2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。

npm の悪意のパッケージの新たな動向：Kubernetes コンフィグと SSH キーを盗み出す

Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys

2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。

Nagios XI ネットワーク・モニターに４件の深刻な脆弱性：SQLi および RCE の可能性

Critical Security Flaws Exposed in Nagios XI Network Monitoring Software

2023/09/20 TheHackerNews — ネットワーク監視ソフトウェア Nagios XI で発見された複数の脆弱性により、特権の昇格や情報漏洩の可能性があることが明らかになった。それらの４つの脆弱性は、CVE-2023-40931 〜 CVE-2023-40934 であり、Nagios XI のバージョン 5.11.1 以下に影響を及ぼす。2023年8月4日に報告を受けた Nagios は、2023年9月11日にパッチ適用したバージョン 5.11.2 をリリースしている。

Magento 2 の脆弱性 CVE-2022-24086 が狙い：Xurum いう名のキャンペーンとは？

Ongoing Xurum Attacks on E-commerce Sites Exploiting Critical Magento 2 Vulnerability

2023/08/14 TheHackerNews — Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされている。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS：9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするという。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているらしい。

オープンソースの Merlin ツールキット：国家組織に対する攻撃に悪用される

Hackers use open source Merlin post-exploitation toolkit in attacks

2023/08/09 BleepingComputer — オープンソースのポスト・エクスプロイト／C2 フレームワークである、Merlin を悪用する脅威アクターによる、国家組織への攻撃が相次いでいると、ウクライナの CERT-UA が警告している。Merlin は、Go ベースのクロス・プラットフォームのポスト・エクスプロイト・ツールキットであり、GitHub を通じた無料での入手が可能であり、セキュリティ専門家がレッドチームの演習に利用するための、広範なドキュメントも提供している。

Google Play Store にマルウェアが出回る理由：G 先生の言い訳を聞かせてもらおう

Google explains how Android malware slips onto Google Play Store

2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ／Dalvik／JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。

npm に新たな悪意のパッケージ：開発者たちをサプライチェーン攻撃に組み込む

Malicious npm Packages Found Exfiltrating Sensitive Data from Developers

2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。

RedEnergy という Stealer-as-a-Ransomware：ブラジルとフィリピンのインフラを攻撃している

RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors

2023/07/05 TheHackerNews — RedEnergy と名付けられた高度なランサムウェアの脅威が、ブラジルとフィリピンの公共／電力／石油／ガス／テレコム／機械などの部門を標的として、LinkedIn のページを介した野放し状態での攻撃を行っていることが発見された。Zscaler の研究者である Shatak Jain と Gurkirat Singh は、「このマルウェアは各種のブラウザから情報を盗み出す能力を持ち、機密データの流出を可能にすると同時に、ランサムウェア活動を実行するための、さまざまなモジュールを組み込んでいる」と、最近の分析結果を説明している。研究者たちは、被害者に最大限の損害を与えることを目的として、データ窃盗と暗号化を組み合わせていると指摘している。

NPM パッケージの Manifest Confusion ：チェックのための Python ツールがリリース

New Python tool checks NPM packages for manifest confusion issues

2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発／公開された。先週に、GitHub／NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。

NPM の根幹を揺るがす Manifest Confusion：パッケージ情報が信頼できない理由

NPM ecosystem at risk from “Manifest Confusion” attacks

2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール／アップグレード／コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。

PindOS という JavaScript マルウェア・ローダー： Bumblebee／IcedID との関係は？

Powerful JavaScript Dropper PindOS Distributes Bumblebee and IcedID Malware

2023/06/23 TheHackerNews — 新種の JavaScript ドロッパーにより、ネクスト・ステージ・ペイロードが配信されていることが確認された。サイバー・セキュリティ企業 Deep Instinct は、この Bumblebee や IcedID にも似ているマルウェアを、User-Agent 内に名前を持つ PindOS として追跡している。Bumblebee と IcedID は、どちらもローダーとしての役割を担い、侵害したホスト上でランサムウェアなどのベクターとして機能する。最近の Proofpoint のレポートでは、IcedID が銀行詐欺の機能を放棄し、マルウェア配信のみに特化していることが強調されている。

Azure における XSS の脆弱性：ユーザー・セッションに対する未認証のアクセスが生じていた

XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions

2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する２つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月／5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。

npm で発見された悪意のライブラリ：正規パッケージを装う TurkoRat マルウェア

Once Again, Malware Discovered Hidden in npm

2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ／レジストリに存在する、“nodejs-encrypt-agent” という名前の２つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。

HTML 内に仕込まれたマルウェアの進化：セキュリティ・スキャンを難しくする手口とは

Barracuda Networks Reports Shift in HTML Malware Tactics

2023/05/05 SecurityBoulevard — Barracuda Networks が発表したレポートによると、HTML ファイル内にマルウェアを埋め込むバー犯罪者が、外部サイトへのリンクを介して悪意のペイロードを配信するケースが増えているようだ。このようなアプローチの変化により、一部のセキュリティ・スキャナでは、メールに埋め込まれたマルウェアを検出することが難しくなっている。

DLL サイドローディングの二重化：追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath／Golden Eye Dog／APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

Facebook を攻撃する NodeStealer は情報窃取マルウェア：セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta／Gmail／Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

ViperSoftX 情報スティーラー：KeePass／1Password も標的にする最凶のマルウェアとは？

ViperSoftX info-stealing malware now targets password managers

2023/04/28 BleepingComputer — 情報窃取型マルウェア ViperSoftX の新バージョンが発見され、パスワード・マネージャーである KeePass や 1Password などに狙いを定めるという、より幅広いターゲットにアプローチしていることが判明した。Trend Micro の研究者たちからの報告によると、ViperSoftX は以前よりも多数の暗号通貨ウォレットをターゲットにして、Chrome 以外のブラウザにも感染が可能となり、さらには、パスワード・マネージャーもターゲットにし始めているようだ。さらに言うなら、この情報窃取型マルウェアの最新バージョンは、コード暗号化を強化し、セキュリティ・ソフトウェアによる検出を回避する機能を備えている。

WordPress サイト 100万件を侵害：Balada Injector による大規模マルウェア・キャンペーン

Over 1 Million WordPress Sites Infected by Balada Injector Malware Campaign

2023/04/10 TheHackerNews — Balada Injector というマルウェアを展開する継続的なキャンペーンにより、2017年以降で 100万以上の WordPress サイトが感染したと推定される。GoDaddy の Sucuri によると、WordPressサイトを侵害する、この大規模キャンペーンでは、テーマとプラグインに存在する、ありとあらゆる脆弱性が悪用されているようだ。この攻撃は、数週間に一度のペースで、波状的に展開されると認識されている。

npm への DoS 攻撃：レジストリが断続的にダウンするという最悪の事態に

Malicious Spam Campaign Downs npm RegiSEO poisoningstry

2023/04/05 InfoSecurity — この１ヶ月の間に、npm レジストリが断続的なサービス拒否 (DoS) 停止に陥っていたことを、セキュリティ専門家たちが明らかにした。そして、ボット対策技術を導入するよう促している。 npm は、世界最大のソフトウェア・レジストリとして知られており、200万以上の JavaScript パッケージがダウンロードできるようになっている。Checkmarx の Head of Software Supply Chain Security である Jossef Harush Kadouri は、「過去にもスパム・キャンペーンによる被害があったが、この１ヶ月間における被害は、それらとは比較にならないほどの酷いものであった」と述べている。

Npm に大量の悪意のパッケージ：分散型フィッシング・リンクを備えている

Npm Packages Used to Distribute Phishing Links

2023/02/22 InfoSecurity — 複数のユーザー・アカウントから、数時間のうちに 15,000以上のスパム・パッケージを、OSS リポジトリ npm にアップロードするという脅威が確認されている。2023年2月21日に、JavaScript 開発者である Jesse Mitchell は、「npm に対するスパム攻撃を検知した。何万ものパッケージがレジストリに殺到し、トップページを占拠している」と、Twitter に投稿している。続いて、Checkmarx の Cybersecurity Expert である Yehuda Gelb が、さらに調査／分析を行い、その結果についてアドバイザリで述べている。

PyPI に悪意の Python パッケージ：すでに 450回もダウンロードされている

Researchers Uncover Obfuscated Malicious Code in PyPI Python Packages

2023/02/10 TheHackerNews — Python Package Index (PyPI) に侵入した４種類の悪意のパッケージが、マルウェア投下／netstat ユーティリティ削除／SSH authorized_keys ファイルの操作などの、数々の悪質なアクションを実行することが確認されている。問題のパッケージの名称は、aptx／bingchilling2／httops／tkint3rs であり、いずれも削除までの間に、450回ほどダウンロードされている。なお、aptx は Qualcomm の同名オーディオ・コーデックを模倣したものであり、httops と tkint3rs は、それぞれ https と tkinter のタイポスクワッティングである。

NPM に悪意のパッケージ aabquerys：タイポスクワッティングでマルウェア配布

Malicious Npm Package Uses Typosquatting, Downloads Malware

2023/02/10 InfoSecurity — オープンソース JavaScript の npm リポジトリで、タイポスクワッティングを用いて悪意のコンポーネントをダウンロードさせる、aabquerys というパッケージが発見された。今回の発見は、ReversingLabs のセキュリティ研究者によるもので、aabquerys は感染済のシステムに対して、第２段階／第３段階のマルウェア・ペイロードをダウンロードすることも可能だとされる。

iOS デバイスを汚染するアドウェア Vastflux：ピーク時で 120億／日のリクエスト

Massive ad-fraud op dismantled after hitting millions of iOS devices

2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上／日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。

Java と .NET のデベロッパー：大量の脆弱性に対峙する理由を解明

Java, .NET Developers Prone to More Frequent Vulnerabilities

2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75％が、OWASP Top-10 に含まれる脆弱性を、少なくとも１つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の２つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも１つの深刻な脆弱性を抱えていることも明らかになった。