Last Updated on 2024-06-04 07:39 by 荒木 啓介
サイバーセキュリティ研究者たちは、npmパッケージレジストリにアップロードされた新しい疑わしいパッケージを発見し、これがコンピュータシステムにリモートアクセストロイの木馬(RAT)を投下するよう設計されていることを明らかにした。問題のパッケージは「glup-debugger-log」であり、gulpツールキットのユーザーをターゲットにして、「gulpおよびgulpプラグイン用のロガー」として偽装している。このパッケージは現在までに175回ダウンロードされている。
ソフトウェアサプライチェーンセキュリティ会社Phylumがこのパッケージを発見し、2つの難読化されたファイルが含まれており、これらが連携して悪意のあるペイロードを展開することを明らかにした。1つ目のファイルは初期ドロッパーとして機能し、特定の要件を満たす対象マシンを侵害し、追加のマルウェアコンポーネントをダウンロードする。2つ目のスクリプトは、攻撃者が侵害されたマシンを永続的にリモートで制御するメカニズムを提供する。
このライブラリのpackage.jsonファイルの詳細な調査により、テストスクリプトがJavaScriptファイル(”index.js”)を実行し、これがさらに難読化されたJavaScriptファイル(”play.js”)を呼び出すことが判明した。”play.js”ファイルは、ネットワークインターフェース、特定のタイプのWindowsオペレーティングシステム(Windows NT)、そして通常ではない条件としてデスクトップフォルダ内のファイル数をチェックする。Phylumは、デスクトップフォルダが7つ以上のアイテムを含むことを確認すると、これがユーザーアクティビティの指標、またはVMや新規インストールのような管理環境での展開を避ける方法である可能性があると説明している。
すべてのチェックが完了すると、別のJavaScript(”play-safe.js”)が起動され、永続性を設定する。このローダーは、URLまたはローカルファイルから任意のコマンドを実行する機能を備えている。”play-safe.js”ファイルはHTTPサーバーを立ち上げ、ポート3004で受信コマンドを待ち受け、実行したコマンドの出力をプレーンテキストのレスポンスとしてクライアントに送り返す。
Phylumは、このRATを機能が最小限でありながらも、自己完結型であり、解析を避けるための難読化に依存している点で、原始的かつ洗練されていると評している。これは、オープンソースのエコシステムにおけるマルウェア開発の風景が進化し続けており、攻撃者が検出を回避しつつ強力な機能を持つコンパクトで効率的かつ隠密性の高いマルウェアの作成を目指して新しく巧妙な技術を採用していることを示している。
【ニュース解説】
ソフトウェア開発者が使用するツールの一つであるgulpをターゲットにした、新たなセキュリティ上の脅威が発見されました。この脅威は、「glup-debugger-log」という名前のnpmパッケージによってもたらされ、このパッケージはgulpやそのプラグイン用のロガーとして偽装されていますが、実際にはリモートアクセストロイの木馬(RAT)をシステムに投下する機能を持っています。このパッケージは、現在までに175回ダウンロードされており、ソフトウェアサプライチェーンのセキュリティを専門とする会社Phylumによって発見されました。
このパッケージには、2つの難読化されたファイルが含まれており、これらは連携して悪意のあるペイロードを展開します。最初のファイルは、特定の条件を満たすシステムを侵害し、追加のマルウェアコンポーネントをダウンロードする初期ドロッパーとして機能します。次に、もう一つのスクリプトが攻撃者による侵害されたマシンの永続的なリモート制御を可能にします。
この攻撃は、特定のネットワークインターフェース、Windows NTといった特定のオペレーティングシステム、そしてデスクトップフォルダ内のファイル数という、一見すると奇妙に思える条件をチェックすることから始まります。これらの条件は、攻撃者がアクティブな開発者のマシンを狙っていること、または仮想マシンや新規インストールのような管理された環境への展開を避けようとしていることを示唆しています。
このような攻撃は、ソフトウェア開発のエコシステムにおけるセキュリティの脅威が進化し続けていることを示しています。攻撃者は、検出を回避しながらも強力な機能を持つマルウェアを作成するために、新しい技術や手法を採用しています。この事例は、開発者が使用するツールやライブラリを慎重に選択し、信頼できるソースからのみダウンロードすることの重要性を改めて強調しています。
また、この事件は、ソフトウェアサプライチェーンのセキュリティを強化するための取り組みがいかに重要であるかを示しています。開発者や企業は、使用するコンポーネントのセキュリティを定期的に監査し、脆弱性が発見された場合には迅速に対応する必要があります。さらに、このような攻撃から保護するためには、エンドポイントのセキュリティ対策を強化し、不審な活動を検出するためのシステムを導入することが効果的です。
from Researchers Uncover RAT-Dropping npm Package Targeting Gulp Users.
