ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に

Analyst's Choice

Cyber Intelligence

Intelligence

サイバーインテリジェンス

ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に

Rory

Rory

2023.01.16

 

「Analyst’s Choice」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションをコメントしています。

今月の3つ目のトピックは「ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に」です。これについて、影響範囲、アナリストの見解、緩和のための戦略を紹介していきます。

今月の「Analyst’s Choice」、その他の記事はこちら:「LockBit 3.0にワーマブル性能が加わる」、「開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的

ランサムウェアが、タイポスクワッティングされたPyPIおよびnpmパッケージを使って開発者を標的に

米国CIAを装うランサムノート

脅威アクターらがPythonの人気「requests」パッケージのタイポスクワッティング版を使い、Go言語で書かれたランサムウェアバイナリを配布する進行中のキャンペーンを、Phylumの研究者が観測しました。npmを用いる同様のキャンペーンでは、Discordに言及したパッケージが使用されています。

バイナリは、実行されると、標的マシン上の特定のファイルの暗号化を試みます。同マルウェアによって作成されるREADMEは、復号キーと引き換えに100ドル(BTC、ETH、LTCまたはXMRでの支払い)を要求します。このランサムノートは、発信元が米国中央情報局(CIA)であるかのように見せかけています。

情報源(外部サイト)

1, https://blog.phylum.io/phylum-detects-active-typosquatting-campaign-in-pypi?_hsmi=237516406&_hsenc=p2ANqtz–AOFn1EmrZpRcUccgJ_k8uXeZQkdaw9Mr7W2TGvrEgu3XsaONxypp3lhgb0NpOWgsZbhqc2Jj7nvvDfMJfyc-3ncfi8w

アナリストのコメント

影響範囲

PyPIおよびnpmパッケージに関するタイポスクワッティングは、これらのリポジトリを使用するあらゆる人を危険に晒す可能性があります。以下に挙げるグループでは、リスクが特に高くなる場合があります。

開発者:自身のプロジェクト用のパッケージを見つけ、インストールするためにPyPIおよびnpmを使っている開発者は、誤ってタイポスクワッティング済みパッケージをインストールしてしまう危険に晒される恐れがあり、これが、データ侵害やその他のセキュリティ上の問題につながる可能性があります。

組織:PyPIおよびnpmのパッケージを自らのプロジェクト内で使用している組織は、開発者が誤ってタイポスクワッティング済みパッケージをインストールしてしまった場合、危険に晒される可能性があります。

PyPIおよびnpmパッケージを使って構築されるソフトウェアのユーザー:PyPIおよびnpmのパッケージを使って構築されるソフトウェアのユーザーは、当該ソフトウェアにタイポスクワッティング済みパッケージが含まれる場合、危険に晒される可能性があり、これが、データ侵害やその他のセキュリティ上の問題につながる可能性があります。

公共機関:PyPIおよびnpmのパッケージを自らのプロジェクト内で使用している公共機関は、開発者が誤ってタイポスクワッティング済みパッケージをインストールしてしまった場合、危険に晒される可能性があります。

一般ユーザー:パッケージリポジトリに精通しておらず、タイポスクワッティング済みパッケージの見つけ方を知らない場合のある一般ユーザーに関しては、タイポスクワッティング攻撃の被害に遭うリスクが高まる可能性があります。

見解

タイポスクワッティングは、攻撃者がPyPIやnpmといったパッケージリポジトリに対して比較的よく使用する戦術です。これらのリポジトリは、新しいパッケージの作成・公表が容易に行えるため、タイポスクワッティング攻撃の格好の標的となっています。

近年、PyPIとnpmでのタイポスクワッティングの事例が複数報告されています。例えば2020年には、カリフォルニア大学バークレー校の研究者で作るグループが、1,500件以上のタイポスクワッティングパッケージをPyPI上で発見したと報告しました。同様に2019年には、あるセキュリティ研究者が、1年以上アクティブなタイポスクワッティングキャンペーンをnpm上で発見しました。

これらの事例から、パッケージリポジトリへのタイポスクワッティングは、すでに進行中の問題で、おそらく今後も続くということが分かります。これらのリポジトリを利用する開発者や組織にとって大切なのは、警戒を緩めず、タイポスクワッティング対策のベストプラクティスに従うことです。

緩和戦略

1. パッケージの真正性の確認:パッケージをインストールする前に、発行者の名前、パッケージのバージョン番号およびパッケージの依存関係を確認することにより、パッケージが正当なものであることを確認してください。

2.パッケージマネージャーをセキュリティ機能と併せて使用する:npmやyarnといったパッケージには、タイポスクワッティングの防止に役立つビルトインセキュリティ機能が内蔵されています。例えば、npmには、ユーザーが詳細不明な、または検証済みでないソースからパッケージをインストールしようとしている際に警告を発する機能があります。

3.パッケージ検証ツールを使用する:「Mend」などのパッケージ検証ツールは、既知の脆弱性の有無を調べるために依存関係をスキャンすることが可能で、いずれかの脆弱性が確認された場合はアラートが発せられます。

4.パッケージ署名の使用:一部のパッケージ署名ツールは、検証済みのソースからしかパッケージがインストールされないようにするのに役立ちます。

Writer

Rory株式会社マキナレコード 脅威インテリジェンス・アナリスト

著者

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ