悪意のあるオープンソースパッケージの多くは、人気プロジェクト名の誤字を使う手法を脱却し、開発者のワークフローに自然に溶け込む、もっともらしいプラグイン・設定ファイル・ヘルパーを装うようになっている。
これは、4309件の悪意あるパッケージを分析したSonatypeによる新たな調査結果の中心的な知見であり、91%が命名バリアント戦術を使用しており、従来の防御が検出を想定してきた古典的なタイポスクワッティングに頼っていたのはわずか9%に過ぎないことが判明した。
この変化が重要なのは、これらのパッケージが単なる無害なそっくりパッケージではないからだ。最も一般的な動作はホスト情報や機密情報の窃取であり、次いでドロッパーやバックドアが続いており、通常のインストール操作が認証情報の盗難やその後の侵害への入口となっている。
本物のコードの言語を借用する
攻撃者は信頼されたパッケージ名を一字一句コピーするのではなく、正規プロジェクトに隣接して見えるような名前を構築するケースが増えている。
Sonatypeは、サフィックスの付加が最も一般的な戦術として全体の43.6%を占めており、プレフィックスの付加、ターゲット名の埋め込み、依存関係の混乱を狙ったパターン、バージョン偽装なども確認されたと報告している。
これらの名前が機能するのは、ごく当たり前に感じられるからだ。開発者は人気フレームワークにプラグイン、ソフトウェア開発キット(SDK)、ラッパー、スコープ付きモジュールといった多数の関連パッケージが存在することを当然視しているため、「plugin」「config」「sdk」といった用語はほとんど疑いを生まない。これにより攻撃者は、多段階の悪意ある動作を目立たない形で潜ませる余地を得ている。
「タイポスクワッティングは今や最低限の手口に過ぎない」と、SonatypeのCTO兼共同創業者であるBrian Fox氏は述べた。同氏はさらに、攻撃者は実際のソフトウェアエコシステムの言語・構造・慣習を模倣しており、悪意あるパッケージは評判が確立される前にすでに開発者のマシン上に存在している可能性があると指摘した。
信頼されたエコシステムを標的に
活動は、隣接パッケージがすでに一般的なエコシステムに集中している。
Reactは540件の悪意あるパッケージで最も多く標的にされたエコシステムであり、ESLintのプラグイン・設定エコシステム、Tailwindのアドオンライブラリがそれにつづいており、暗号資産やDeFi関連のツールも多数を占めた。
Sonatypeはまた、産業化の証拠も指摘している。同じ命名戦術・インフラ・IDが、単発の試みとしてではなく、複数のパッケージファミリーにわたって再利用されているというのだ。防御側は、疑わしいパッケージをパッケージ単体ではなく、キャンペーン単位・パブリッシャー単位で評価すべきだと同社は主張している。
セキュリティチームへの示唆は、タイポ検出と静的な評判チェックだけではもはや不十分だということだ。Sonatypeは、初めて登場する依存関係に対して導入の障壁を設け、フレームワーク隣接に見えるパッケージを精査し、コンポーネントがビルドに組み込まれる前に命名パターンとパブリッシャーの行動を精査するよう組織に促している。
翻訳元: https://www.infosecurity-magazine.com/news/attackers-beyond-typosquatting/
