npmレジストリの800パッケージに潜む危険、18個が悪用可能と判明

Last Updated on 2024-03-22 07:40 by 荒木 啓介

新たな研究により、npmレジストリ内の800以上のパッケージに登録情報との不一致が見つかり、そのうち18個が「マニフェスト混乱」と呼ばれる手法を利用して悪用可能であることが明らかになった。この問題は、サイバーセキュリティ企業JFrogによって発見され、開発者が悪意のあるコードを実行するように騙される可能性があると指摘されている。マニフェスト混乱は、2023年7月にセキュリティ研究者Darcy Clarkeによって初めて文書化され、npmレジストリがパッケージの公開プロセス中にHTTP PUTリクエストを介してnpmサーバーに提供されたマニフェストデータと、tarball内のマニフェストファイル（package.json）が一致するかどうかを検証しないことから生じる。この検証の欠如を利用して、攻撃者は隠された依存関係を含む異なるマニフェストを提供し、パッケージのインストール中に開発者のシステムに悪意のある依存関係をこっそりとインストールすることができる。

JFrogは、npmレジストリのマニフェストとtarball内のpackage.jsonファイルとの間に不一致がある800以上のパッケージを特定した。これらの不一致の多くは、プロトコル仕様の違いやパッケージファイルのスクリプトセクションの変動によるものだが、18個はマニフェスト混乱を悪用するために設計されたとされる。特に注目すべきパッケージはyatai-web-uiで、インストールされたマシンのIPアドレスに関する情報をサーバーに送信するよう設計されている。攻撃ベクトルが実際に悪用されたことはないが、開発者はパッケージが怪しい挙動を示さないように注意することが重要である。npmがこの問題を解決していないため、npmのウェブサイト上でのパッケージの見た目だけを信頼することはリスクが伴う。組織は、組織に入るすべてのパッケージ、または開発チームが使用するパッケージが安全で信頼できることを確認する手順を導入するべきである。特にマニフェスト混乱の場合、隠された依存関係がないかどうか、すべてのパッケージを分析する必要がある。

【ニュース解説】

新たな研究により、npmレジストリ内の800以上のパッケージに登録情報との不一致が見つかり、そのうち18個が「マニフェスト混乱」と呼ばれる手法を利用して悪用可能であることが明らかになりました。この問題は、サイバーセキュリティ企業JFrogによって発見され、開発者が悪意のあるコードを実行するように騙される可能性があると指摘されています。マニフェスト混乱は、npmレジストリがパッケージの公開プロセス中に提供されたマニフェストデータと、tarball内のマニフェストファイル（package.json）が一致するかどうかを検証しないことから生じます。この検証の欠如を利用して、攻撃者は隠された依存関係を含む異なるマニフェストを提供し、パッケージのインストール中に開発者のシステムに悪意のある依存関係をこっそりとインストールすることができます。

この問題の発見は、ソフトウェアのサプライチェーン攻撃に対する新たな脅威を示しています。サプライチェーン攻撃は、開発者が使用する外部コードやライブラリを標的とすることで、最終的な製品やサービスに影響を与える攻撃です。マニフェスト混乱を利用した攻撃は、開発者が信頼しているパッケージが実際には悪意のあるコードを含んでいる可能性があることを意味します。これは、開発者だけでなく、最終的なユーザーにとっても重大なセキュリティリスクをもたらします。

この問題に対処するためには、開発者や組織がパッケージの安全性を確認するための追加的な手順を導入することが重要です。これには、パッケージの依存関係を慎重に分析し、信頼できるソースからのみパッケージをダウンロードすることが含まれます。また、npmや他のパッケージ管理システムがこの種の脅威に対処するための改善を行うことも重要です。

長期的には、この問題はソフトウェア開発のプラクティスに影響を与え、より厳格なセキュリティ対策の導入を促す可能性があります。開発者と組織がソフトウェアの依存関係をより慎重に管理し、セキュリティ監査を定期的に行うことが、この種の攻撃から保護する鍵となります。また、この問題はオープンソースコミュニティにおけるセキュリティの重要性を再確認させ、より安全なソフトウェア開発のための協力とコミュニケーションを促進する機会を提供します。

from Over 800 npm Packages Found with Discrepancies, 18 Exploitable to 'Manifest Confusion'.