出典:Antonio Batinić(Alamy Stock Photo経由)
自動化と高報酬・低リスクの脅威環境により、今年第2四半期のオープンソースマルウェアは前年比188%増加しました。
サプライチェーンセキュリティベンダーのSonatypeは本日、npmやPyPlなどの人気リポジトリに公開された悪意のあるオープンソースパッケージに特化した、2025年第2四半期「オープンソースマルウェアインデックス」レポートを発表しました。
多くの場合、攻撃者は別の、より信頼されているソフトウェアパッケージを装ってファイルを公開します(タイポスクワッティングを参照)。エンドユーザーがそのパッケージをダウンロードして実行すると、マルウェアが被害者のデータや認証情報を収集します。また、昨年のXZ Utilsのように、攻撃者が正規のパッケージにバックドアを仕込むケースもあります。
いずれにせよ、オープンソースリポジトリにはマルウェアが蔓延しており、Sonatypeが2025年第2四半期レポートで強調しているように、状況は悪化の一途をたどっています。
主な調査結果
Sonatypeは4月1日から6月30日の間に16,279件のオープンソースマルウェアを発見しました。
「オープンソースコンポーネントは、現代のソフトウェア開発において引き続き基盤となっています。しかし、利用が拡大するにつれ、悪意のある攻撃者が信頼を悪用し、攻撃を自動化する機会も増えています」とレポートは述べています。「第2四半期のデータは明確な傾向を示しています。攻撃者は、秘密情報や認証情報を収集し、サプライチェーン侵害やクラウドアカウント乗っ取りといった二次攻撃を可能にする、情報流出に特化したマルウェアを洗練させています。」
データ流出はマルウェアの最も一般的な用途で、サンプルの55%で見られました。「4,400以上のパッケージが、秘密情報、個人を特定できる情報、認証情報、APIトークンを盗むことを目的として設計されていました」とSonatypeのレポートは述べています。一方で、5%のパッケージには暗号通貨マイナーが含まれ、2%にはコードインジェクション、3%にはデータ破壊が含まれていました。
これらのオープンソースパッケージを頻繁に利用するソフトウェア開発者は、こうした攻撃の中心となることが多いです。これはサプライチェーン攻撃の作成に役立つだけでなく、開発者が秘密情報やキーを持っているためでもあり、Sonatypeの主任セキュリティ研究員Garrett Calpouzosは「多くの場合、予測可能な場所にある」と指摘しています。
Sonatypeは、オープンソースマルウェアが前年比188%増加した要因として、大量の悪意あるパッケージを自動で公開・管理できること、多くの開発者やCI/CDシステムが一貫したファイル名や変数名を使用しているためプログラム的にデータを流出させやすいこと、そしてオープンソースエコシステムにおける認証情報の窃盗が「攻撃者にとって比較的低リスクで高報酬な戦略」であることなどを挙げています(Sonatype共同創業者兼CTOのBrian Fox談)。
注目すべき脅威キャンペーン
第2四半期にSonatypeは、3万回以上ダウンロードされた107件の悪意あるパッケージが北朝鮮のAPT「Lazarus Group」と関連していることを突き止めました。
「注目すべきは、観測されたすべてのパッケージが、以前のLazarus関連活動と関連する共通のソースコードベースに遡ることです。これは孤立した事例ではなく、継続的なキャンペーンの一部であることを示しています」とSonatypeは述べています。「これらのパッケージは認証情報を盗み、任意のコードを実行できるよう設計されており、攻撃者が開発者マシンやCI/CDインフラを侵害することを可能にします。影響の正確な規模は調査中ですが、これらのパッケージが一貫して現れることは、国家主体によるオープンソースエコシステムの継続的な悪用を浮き彫りにしています。」
FoxはDark Readingに対し、「データ恐喝攻撃というよりも、第2四半期に観測された行動の大半はアクセス仲介やスパイ活動とより一致しています」と述べています。
「攻撃者はオープンソースマルウェアを使って、後で販売したり利用したりできる認証情報や秘密情報を密かに収集しています。時には同じ攻撃者が、時には他者に引き渡されることもあります」と彼は言います。「Lazarusのようなグループは、即時的な金銭的要求よりも長期的な潜入やデータ収集に明らかに重点を置いていますが、得られたアクセス次第では恐喝も排除されません。」
調査チームはまた、中国の脅威アクターと疑われるYeshen-Asiaが、異なるアカウントから開発者ツールを装った悪意あるパッケージを約100件アップロードしたことも強調しています。
「これらのパッケージは同じパターンに従っていました。各パッケージは異なる著者アカウントから公開され、1つの悪意あるコンポーネントのみをホストし、すべてがCloudflareで保護されたyeshen.asiaドメイン背後のインフラと通信していました。npmの著者1人だけで、削除前に23,000回以上インストールされており、このキャンペーンがいかに巧妙かつ広範囲に及んでいたかを示しています」とレポートは述べています。「この第2波で新しい手法は観測されませんでしたが、自動化のレベルとインフラの再利用は、認証情報の窃盗や秘密情報の流出に焦点を当てた、計画的かつ持続的なキャンペーンを反映しています。」
防御側ができること
防御の面では、Sonatypeのようなベンダーがオープンソースマルウェアのブロックを目的とした製品を提供しています。より広い視点では、FoxはDark Readingに対し、防御側はソフトウェア部品表で利用しているものを棚卸しし、コンポーネントの由来を検証し、開発者リスクを分離すべきだと述べています。
「ビルドには分離されたサンドボックス環境を使用し、パブリックレジストリへの直接アクセスを制限し、依存関係の挙動、特にインストール後スクリプトの不審な活動を監視してください」とFoxは述べています。「重要なのは、オープンソースパッケージを潜在的な攻撃経路とみなし、外部の実行可能コードと同じ厳格さで扱うことです。」