innovaTopia

Tech for Human Evolution

悪意あるパッケージがNuGetを脅かす:開発者警戒、新技術「ILウィービング」登場

悪意あるパッケージがNuGetを脅かす:開発者警戒、新技術「ILウィービング」登場 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-12 04:54 by admin

2023年8月に始まったキャンペーンの一環として、攻撃者がNuGetパッケージマネージャーに新たな悪意のあるパッケージを公開していることが観察された。この新しい波のパッケージは約60個で、290バージョンにわたる。これらは、2023年10月に明らかになった以前のセットから洗練されたアプローチを示していると、ソフトウェアサプライチェーンセキュリティ会社ReversingLabsが述べている。攻撃者はNuGetのMSBuild統合を使用する戦略から、「中間言語(IL)ウィービング」という.NETプログラミング技術を使用して、コンパイル後のアプリケーションコードを変更する戦略へと転換した。この戦略は、正当なPE(ポータブル実行可能).NETバイナリに悪意のある機能を注入することを可能にする。これらの偽造パッケージの最終目標は、SeroXen RATという市販のリモートアクセストロイの木馬を配信することである。特定されたすべてのパッケージは既に削除されている。最新のパッケージコレクションは、正当なNuGetパッケージから取得した正当なPortable Executable (PE) .NETバイナリに悪意のある機能を注入する可能性を提供する新しい技術であるILウィービングの使用が特徴である。これには、Guna.UI2.WinFormsなどの人気のあるオープンソースパッケージを取り、前述の方法でパッチを当てて、”Gսոa.UI3.Wіnfօrms”という偽のパッケージを作成することが含まれる。これは、文字”u”、”n”、”i”、”o”をそれぞれ”ս” (\u057D)、”ո” (\u0578)、”і” (\u0456)、”օ” (\u0585)の同等物で置き換えるホモグリフを使用している。

【ニュース解説】

2023年8月に始まったキャンペーンの一環として、攻撃者がNuGetパッケージマネージャーに新たな悪意のあるパッケージを公開していることが観察されました。この新しい波のパッケージは約60個で、290バージョンにわたります。これらは、2023年10月に明らかになった以前のセットから洗練されたアプローチを示しています。攻撃者はNuGetのMSBuild統合を使用する戦略から、「中間言語(IL)ウィービング」という.NETプログラミング技術を使用して、コンパイル後のアプリケーションコードを変更する戦略へと転換しました。この戦略は、正当なPE(ポータブル実行可能).NETバイナリに悪意のある機能を注入することを可能にします。これらの偽造パッケージの最終目標は、SeroXen RATという市販のリモートアクセストロイの木馬を配信することです。特定されたすべてのパッケージは既に削除されています。

この最新の攻撃キャンペーンは、攻撃者が開発者やセキュリティチームを騙して、人気のあるオープンソースパッケージマネージャーから悪意のあるパッケージや改ざんされたパッケージをダウンロードして使用させる新しい方法を模索していることを示しています。特に、ILウィービングという新しい技術を使用して、正当なNuGetパッケージから取得した正当なPortable Executable (PE) .NETバイナリに悪意のある機能を注入することが可能になりました。これには、Guna.UI2.WinFormsなどの人気のあるオープンソースパッケージを取り、前述の方法でパッチを当てて、”Gսոa.UI3.Wіnfօrms”という偽のパッケージを作成することが含まれます。これは、文字”u”、”n”、”i”、”o”をそれぞれ”ս” (\u057D)、”ո” (\u0578)、”і” (\u0456)、”օ” (\u0585)の同等物で置き換えるホモグリフを使用しています。

このような攻撃は、ソフトウェアのサプライチェーンのセキュリティに対する新たな脅威を示しており、開発者やセキュリティ専門家にとって、信頼できるソースからのパッケージのみを使用し、定期的なセキュリティチェックを行うことの重要性を再認識させます。また、この攻撃は、オープンソースコミュニティとセキュリティ研究者が協力して、悪意のあるパッケージを特定し、排除するための新しい手法とツールを開発する必要性を浮き彫りにしています。

長期的な視点では、このような攻撃の増加は、ソフトウェア開発プロセスにおけるセキュリティ対策の強化、特にサプライチェーンセキュリティの重要性を高めることになるでしょう。また、ソフトウェアパッケージの真正性と完全性を保証するための新しい規制や基準の導入が促される可能性があります。このような攻撃に対する防御策としては、ソースコードの監査、依存関係の管理、継続的なセキュリティテストなどが挙げられます。これらの対策は、開発者と組織が自身のソフトウェアとユーザーを保護するために不可欠です。

from 60 New Malicious Packages Uncovered in NuGet Supply Chain Attack.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 悪意あるパッケージがNuGetを脅かす:開発者警戒、新技術「ILウィービング」登場