出典: Araki Illustrations via Alamy Stock Photo
サイバー犯罪者は悪意あるリポジトリをGitHubにこっそり忍び込ませ続けています。
タイポスクワッティング、依存関係の混乱、その他の種類のサイバー攻撃は、悪意あるパッケージを通じて引き起こされる古くからの一般的な手口であり、npmやPython Package Index (PyPI)のようなプラットフォームで常に見られます。ReversingLabsによると、これらのケースは実際には急激に減少しています。しかし同時に、脅威アクターは同様の攻撃を行うための新しい道を見つけています。
「コミュニティが気づき始めた結果、脅威アクターはより目立たない手法を開発し、長く隠れ続けることを望んでいます」とReversingLabsの主任マルウェア研究者であるロバート・シモンズは言います。例えば、彼は「GitHubで悪意あるキャンペーンや手法を発見しましたが、PyPIやnpmでの発見ほど頻繁ではありません。GitHubでのこれらの悪意ある発見は、性質的により洗練されています」と述べています。
最近のキャンペーンでは、脅威アクターが67の悪意ある模倣リポジトリをGitHubに投稿し、通りすがりの人々が既知のハッキングツールをダウンロードしていると思わせようとしました。
GitHubでのタイポスクワッティング
「Banana Squad」として知られる脅威アクターは、悪意あるPythonパッケージで活動を開始し、後にGitHubに移行しました。2023年には、グループは数百の悪意あるPythonパッケージをウェブに公開し、最終的にすべてが特定されて削除されるまでに約75,000回のダウンロードを引き付けました。その後、2024年には、研究者がSteamユーザーをターゲットにした情報スティーラーを含む悪意あるリポジトリをGitHubに公開したことを発見しました。
最新のキャンペーンでは、約70の悪意あるリポジトリが関与していました。それぞれがPythonベースのハッキングツールのように見せかけられ、他の正当なGitHubリポジトリを模倣した同一の名前とファイルを持っていました。
Banana Squadは、GitHubのユーザーインターフェースのありふれた側面を利用してマルウェアを隠しました。コードをレビューする際、特に長い行は単に新しい行に折り返されるのではなく、ユーザーの画面の右側に無限に伸びます。このGitHubキャンペーンと以前のキャンペーンでは、Banana Squadは正当なコード行の末尾に過剰な数の空白を追加し、その末尾に悪意あるコードを追加しました。
ReversingLabsは、隠されたペイロードや悪意あるパッケージがフォークされた回数について具体的な情報を特定できませんでした。
パッケージセキュリティにおけるポジティブな傾向
コードパッケージはサイバー攻撃の理想的なベクターです。主要なパッケージマネージャーに公開するのは迅速かつ簡単で、獲物が食いつくのを待つだけです。開発者は多数のパッケージを使用し、インストールプロセスは迅速で自動化されているため、依存しているコードが正当かどうかを慎重に分析するのは、注意深いか疑り深い開発者だけかもしれません。最終的に、感染したパッケージが1つでもあれば、何千もの開発者や彼らが構築するプログラムに到達する可能性があり、それに依存する企業や無数の顧客を危険にさらす可能性があります。
世界で最も人気のあるオープンソースソフトウェア (OSS)プラットフォームとして、GitHubは常に脅威アクターにとって魅力的なターゲットです。しかし、比較的に言えば、GitHubリポジトリはパッケージほど効率的ではありません。開発者として、リポジトリを操作するにはより多くのステップが必要であり、本質的に手動です。潜在的なターゲットは、悪意あるリポジトリを見つけ、それを信頼し、クローンしてプロジェクトに統合する必要があり、その過程で通常はコードレビューが行われます。
Banana Squadのような脅威アクターがパッケージレジストリからソースコードリポジトリに移行している場合、それはこれらのレジストリがそれらをよりうまく処理しているからかもしれません。
「過去数年間で、いくつかのOSSリポジトリがプラットフォームのセキュリティを向上させるための措置を講じており、PyPIはすべてのユーザーに対して2要素認証(2FA)を義務付けています。これが主要なOSSリポジトリ全体での悪意あるOSSパッケージの事例の減少に寄与したと考えられます」とシモンズは説明します。彼はさらに、「OSS開発者コミュニティはこれらのプラットフォーム上の悪意あるパッケージに対してはるかに敏感になっており、攻撃者が短命でない成功したキャンペーンを実行することがさらに困難になっています」と付け加えます。
その結果、ReversingLabsは2023年から2024年にかけてnpm、PyPI、およびRubyパッケージマネージャーRubyGemsで検出された悪意あるパッケージが70%減少したことを発見しました。
「しかし、OSSのリスクが一般的に減少しているわけではなく、悪意あるOSSパッケージの発見事例は週に1回、場合によっては毎日のように発生しています」とシモンズは警告します。「一例として、機密情報やAPIトークンなどのソフトウェア開発の秘密が漏洩し、2023年から2024年にかけて同じOSSプラットフォームで12%増加しました。マルウェアの事例が減少したにもかかわらずです。また、OSSパッケージ全体での脆弱性はより深刻になっており、古く管理されていないコードや更新されていないコードへの依存がこれらのパッケージに広く蔓延しています。」
翻訳元: https://www.darkreading.com/threat-intelligence/dozens-malicious-copycat-repos-github