最近明らかになったスパムキャンペーンの一環として、15万件以上の悪意あるパッケージがNPMレジストリに公開されたとアマゾンが報告しています。
これらのパッケージには、自己増殖型ワームが含まれており、新しいパッケージを無限ループで生成・公開し、レジストリにスパムを送り続けます。
これまでの報告では、18のアカウントから約8万件のパッケージが公開されていることが特定されており、キャンペーンの背後にいる脅威アクターが使用した自動命名方式についても詳細が明らかにされています。
今回アマゾンは、10月24日から11月12日の間に、その2倍のパッケージを特定したと発表しました。これらはすべて、オープンソース開発者に独自の暗号通貨トークンで報酬を与えるブロックチェーンベースのシステムtea.xyzに関連しています。
すべてのパッケージは正当な機能を持たず、自己増殖ルーチンによってさらに多くのパッケージを作成し、package.jsonファイルを変更して公開状態にし、NPMに公開します。
これらのパッケージには「tea.yaml」という設定ファイルが含まれており、脅威アクターがtea.xyzプロトコルから報酬を得るために、可視性やページランクを高めることを目的としていると考えられます。このファイルはパッケージをブロックチェーンのウォレットアドレスに紐付けています。
「従来のマルウェアとは異なり、これらのパッケージには明らかに悪意のあるコードは含まれていません。その代わり、自己増殖や依存関係の連鎖によってパッケージの指標を人工的に増やし、tea.xyzの報酬メカニズムを悪用して、オープンソースコミュニティから金銭的利益を得ているのです」とアマゾンは指摘しています。
JFrogやSourceCodeRedが以前報告したように、IndonesianFoodsやBig Redとして追跡されているこのキャンペーンは、NPMレジストリを低品質かつ機能しないパッケージで汚染し、インフラ資源を浪費し、コードをダウンロードする開発者にリスクをもたらします。
他の脅威アクターがこの手法を模倣し、金銭的利益を目的とした自動パッケージ生成を始めることで、さらに多くの報酬型システムが標的となる追加リスクもあります。
「このインシデントは、金銭的インセンティブによって前例のない規模でレジストリが汚染されるという脅威の進化と、ソフトウェアサプライチェーンを守るための業界とコミュニティの連携の重要性を示しています」とアマゾンは指摘しています。
翻訳元: https://www.securityweek.com/amazon-detects-150000-npm-packages-in-worm-powered-campaign/
