Last Updated on 2024-09-17 06:07 by admin
2023年5月にPython Package Index (PyPI)への数個の悪意あるソフトウェアパッケージのアップロードから始まったマルウェア配布キャンペーンがGitHubに広がり、少なくとも100,000のリポジトリが侵害された。このキャンペーンでは、正当なリポジトリをクローンし、マルウェアローダーで感染させ、変更されたファイルを同じ名前でGitHubにアップロードし、その後、侵害されたリポジトリを数千回フォークし、フォーラムやソーシャルメディアチャンネルでコードを宣伝する。開発者は有用なコードを探しているときに、一見適切に見えるリポジトリを見つけるかもしれないが、隠されたペイロードが悪意あるPythonコードとバイナリ実行可能ファイルを実行し、個人データを盗み出す。
マルウェアコードは、exec関数の使用を隠す「execスマグリング」と呼ばれる技術を含む巧妙な技術を使用している。GitHubは、プラットフォームが安全であることを提供することに専念しており、受け入れ可能な使用ポリシーに違反するコンテンツやアカウントを検出、分析、削除するためのチームを持っていると述べている。しかし、Apiiroの研究者は、GitHubが自動的にフォークされたリポジトリや手動でアップロードされたものの多くを見逃していると指摘している。攻撃の規模が大きいため、ネットワーク効果から恩恵を受ける可能性があり、マルウェアを意図せずにフォークする開発者がソフトウェアを使用する意図がなくても、マルウェアの検証と伝播を行っている。GitHubは、自動的にアカウントとリポジトリを生成するサポート、フレンドリーなAPI、ソフトなレート制限、およびそのサイズにより、ソフトウェアサプライチェーンを侵害する効果的な方法を提供する。
【ニュース解説】
2023年5月に始まったマルウェア配布キャンペーンが、Python Package Index (PyPI)からGitHubに広がり、少なくとも100,000のリポジトリが侵害されたという報告があります。このキャンペーンは、正当なリポジトリをクローンし、マルウェアローダーで感染させた後、変更されたファイルをGitHubに同じ名前でアップロードし、その侵害されたリポジトリを数千回フォークして、フォーラムやソーシャルメディアチャンネルで宣伝するという手法を取っています。このようにして、開発者が有用なコードを探している際に、一見適切に見えるリポジトリを見つけたとしても、隠されたペイロードによって個人データが盗み出されるリスクがあります。
このマルウェアコードは、「execスマグリング」と呼ばれる技術を使用して、exec関数の使用を隠すなど、巧妙な技術を駆使しています。GitHubはこの問題に対処するために、プラットフォームを安全に保つことに専念し、受け入れ可能な使用ポリシーに違反するコンテンツやアカウントを検出、分析、削除するためのチームを持っていると述べています。しかし、Apiiroの研究者によると、GitHubは自動的にフォークされたリポジトリや手動でアップロードされたものの多くを見逃しており、攻撃の規模が大きいため、ネットワーク効果から恩恵を受ける可能性があると指摘しています。
この問題は、ソフトウェアサプライチェーンのセキュリティにとって大きな脅威となります。GitHubのようなプラットフォームは、自動的にアカウントとリポジトリを生成するサポート、フレンドリーなAPI、ソフトなレート制限、そしてそのサイズにより、攻撃者にとって魅力的なターゲットとなっています。このような攻撃は、開発者が信頼して使用するコードに潜むリスクを高め、ソフトウェアの信頼性とセキュリティを損なう可能性があります。
この問題に対処するためには、プラットフォーム側だけでなく、開発者自身も警戒を強める必要があります。開発者は、使用するリポジトリの出所を慎重に確認し、信頼できるソースからのみコードを取得することが重要です。また、ソフトウェアサプライチェーンのセキュリティを強化するための取り組みが、業界全体で進められる必要があります。政府や業界団体がこの問題に対する意識を高め、共同で対策を講じることが、長期的な解決に繋がるでしょう。
from GitHub struggles to keep up with automated malicious forks.
“GitHub侵害:100,000リポジトリがマルウェア攻撃の標的に” への1件のコメント
この報告されたマルウェア配布キャンペーンの拡大は、現代のソフトウェア開発環境におけるセキュリティの脆弱性を浮き彫りにしています。Python Package Index (PyPI)からGitHubへのこのような攻撃の波及は、開発者コミュニティだけでなく、テクノロジーセクター全体にとって大きな警鐘です。開発者たちは、有用で信頼性のあるコードを探す過程で、見た目には正当なリポジトリに引き寄せられがちですが、この事件は見た目だけでは安全性を判断できないことを示しています。
このキャンペーンが用いた「execスマグリング」という技術は、攻撃者がどれだけ巧妙にセキュリティ対策を回避しようとしているかを示しています。GitHubのようなプラットフォームが、受け入れ可能な使用ポリシーに違反するコンテンツやアカウントを検出し、削除するために尽力しているにも関わらず、自動的にフォークされたリポジトリや手動でアップロードされたものの監視には限界があることがこの事件から明らかになりました。
このような攻撃は、ソフトウェアサプライチェーンのセキュリティを損なうだけでなく、開発者や組織の信頼性にも影響します。したがって、開発者はリポジトリの出所を慎