脅威アクターが人気のオープンソースリポジトリへの侵入方法を次々と編み出すなか、ソフトウェアサプライチェーン攻撃は開発者エコシステムへの脅威であり続けています。
最近の調査では、ThreatLabzのセキュリティ研究者がPython Package Index(PyPI)上で悪意あるパッケージを発見しました。巧妙な偽装が施された危険なパッケージです。
攻撃者は「parsimonius」という名前のパッケージをアップロードし、広く利用されている正規のパースライブラリ「parsimonious」になりすます典型的なタイポスクワッティング攻撃を実行しました。
PyPIのようなオープンソースリポジトリは現代のソフトウェア開発に欠かせない基盤ですが、誰でもアクセスできる性質上、攻撃の標的になりやすい側面があります。
攻撃者は正規名から1文字を削除するだけで、開発者を騙して悪意あるコードをダウンロードさせることに成功しました。
タイピングミスをしやすい状況にある開発者、未検証のソースからインストールコマンドをコピーしている開発者、あるいはライブラリ名の正確なスペルを誤って覚えている開発者が、今回のキャンペーンの主な標的となっています。
さらに罠の信憑性を高めるため、攻撃者は偽パッケージに正規の最新リリースより意図的に高いバージョン番号を割り当てました。このバージョン操作により、誤ってインストールされる可能性が高まります。
開発サイクル中に即座に異常を検知されないよう持続性を維持するため、脅威アクターは巧妙な隠蔽技術を採用しています。
クラッシュしたり正常に動作しない悪意あるパッケージは、開発者にすぐ気づかれてしまい、迅速なトラブルシューティングや報告につながります。
攻撃者はこのリスクを認識し、元の「parsimonious」パッケージが持つ正規のパース機能をすべて偽バージョンに組み込みました。
開発者が悪意あるパッケージをインポートすると、アプリケーションは意図どおりにテキストをパースし、問題なく動作し続けます。
この完璧な統合により、通常のユニットテストは合格し、アプリケーションのビルドも成功するため、バックグラウンドで密かに実行される悪意ある活動が完全に隠蔽されます。
表面上は正常に動作する一方、パッケージはデプロイ時に隠されたインストールスクリプトを実行します。
このスクリプトが主要ペイロードを展開し、単純なタイプミスを開発環境への深刻なセキュリティ侵害へと変えてしまいます。
今回のタイポスクワッティングキャンペーンの中核ペイロードは、Telegramメッセージングプラットフォームをコマンド&コントロール(C2)通信に利用する高度なバックドアです。
悪意あるパッケージが初期化されると、攻撃者が管理するTelegramボットへの接続が確立されます。
C2通信にTelegramを利用することはよく使われる回避戦術であり、通常の暗号化されたWebトラフィックに紛れ込んで従来のネットワーク監視ソリューションをすり抜けることができると、ThreatLabzは指摘しています。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無効化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ、元の形式に戻して使用してください。
翻訳元: https://cyberpress.org/fake-parsimonious-package-spreads/
