Last Updated on 2024-07-17 04:57 by 門倉 朋宏
サイバーセキュリティ研究者たちは、npmパッケージレジストリ上で、リモートサーバーから送信された悪意のあるコマンドを実行するバックドアコードを隠すために画像ファイルを使用している2つの悪意のあるパッケージを特定した。問題のパッケージは「img-aws-s3-object-multipart-copy」と「legacyaws-s3-object-multipart-copy」であり、それぞれ190回と48回ダウンロードされていた。これらはnpmセキュリティチームによって削除された。
これらのパッケージは、正規のnpmライブラリ「aws-s3-object-multipart-copy」を模倣しており、「index.js」ファイルの変更版を含んでいて、JavaScriptファイル(「loadformat.js」)を実行する。このJavaScriptファイルは、Intel、Microsoft、AMDの企業ロゴが特徴の3つの画像を処理し、Microsoftのロゴの画像を使用して悪意のある内容を抽出し実行する。このコードは、新しいクライアントをコマンドアンドコントロール(C2)サーバーに登録し、ホスト名とオペレーティングシステムの詳細を送信することで機能する。その後、5秒ごとに攻撃者が発行したコマンドを定期的に実行しようと試みる。最終段階では、コマンドの実行結果が特定のエンドポイントを通じて攻撃者に送り返される。
ソフトウェアサプライチェーンセキュリティ会社Phylumは、「過去数年間で、オープンソースエコシステムに公開された悪意のあるパッケージの洗練度と量が劇的に増加している」と分析している。開発者とセキュリティ組織は、使用しているオープンソースライブラリに対して深い警戒心を持つことが絶対に必要であると警告している。
【ニュース解説】
最近、npmパッケージレジストリ上で発見された2つの悪意のあるパッケージが、画像ファイル内にバックドアコードを隠す手法を用いていたことがセキュリティ研究者によって明らかにされました。これらのパッケージは、あたかも正規のnpmライブラリ「aws-s3-object-multipart-copy」であるかのように偽装されており、実際には「index.js」ファイルの変更版を含み、特定のJavaScriptファイルを実行するように設計されていました。このJavaScriptファイルは、Intel、Microsoft、AMDの企業ロゴが描かれた3つの画像を処理し、特にMicrosoftのロゴが描かれた画像から悪意のあるコードを抽出して実行する仕組みです。
この手法により、攻撃者はリモートサーバーから送信されたコマンドを定期的に実行させることが可能となり、最終的には実行結果を攻撃者に送り返すことができます。このような攻撃は、開発者やセキュリティ組織にとって深刻な脅威をもたらし、オープンソースライブラリの安全性に対する警戒心を一層高める必要があることを示しています。
この事件は、オープンソースエコシステムにおける悪意のあるパッケージの洗練度と量が増加していることを浮き彫りにしています。開発者やセキュリティ組織は、使用するライブラリの安全性を確認するために、より一層の注意を払う必要があります。特に、ソフトウェアのサプライチェーン攻撃は、組織全体に広範な影響を及ぼす可能性があるため、予防策としてのセキュリティ対策の強化が求められます。
このような攻撃のポジティブな側面を見出すのは難しいですが、セキュリティコミュニティにおける意識の高まりや、セキュリティ対策の強化につながる可能性があります。一方で、潜在的なリスクとしては、開発者が信頼しているライブラリが攻撃の対象となることで、ソフトウェアの信頼性やセキュリティが損なわれることが挙げられます。また、このような攻撃手法の出現は、オープンソースソフトウェアの管理やセキュリティ対策に関する規制の見直しを促す可能性があります。
将来的には、この事件を教訓として、ソフトウェアのサプライチェーンセキュリティを強化するための新たな技術や手法が開発されることが期待されます。また、開発者やセキュリティ組織は、ソフトウェアの依存関係をより厳密に管理し、不正な活動を検出するためのツールやプロセスを導入することが重要です。このような取り組みにより、オープンソースエコシステムの安全性を高め、将来的な攻撃を防ぐことができるでしょう。
from Malicious npm Packages Found Using Image Files to Hide Backdoor Code.
