オープンソースソフトウェアの性質上、コードは誰でもレビューする必要がありますが、そのオープンな性質は、攻撃者や他の意図を持つ個人が、誰にも気付かれずに間違ったコードをスリップさせる可能性があることも意味します。この問題を解決するために、GoogleはOpen Source Security Foundation(OpenSSF)パッケージ分析プロジェクトをサポートすることを約束しました。
基本的に、Googleは、OpenSSFがオープンソースパッケージを大規模に動的に分析し、結果をBigQueryに保存するのを支援します。これにより、悪意のあるパッケージが人気のあるリポジトリにアップロードされた場合に、消費者に警告が発せられます。Googleは、このプロセスによってサプライチェーンのセキュリティについての理解が深まり、エコシステム全体がより安全になると考えています。
これを支援するために、Googleは1か月にPyPIとNPMにアップロードされた200の悪意のあるパッケージを分析することから始めました。完全な結果はここのBigQueryテーブルで利用できますが、Googleはいくつかのハイライトを共有しています。
PyPIの「discordcmd」Pythonパッケージは、バックドアをバックグラウンドでダウンロードしてから、WindowsDiscord電子メールクライアントにインストールします。これにより、彼はローカルデータベースを偵察し、DiscordAPIトークンデータを攻撃者のサーバーに渡すことができます。
同様に、NPMの「@ roku-web-core / ajax」は、マシン情報を盗み出し、リバースシェルを開き、コマンドをリモートで実行できるようにします。しかし、Googleは興味深い発見に気づきました:
私たちが見つけたパッケージには通常、インストール中に実行され、ホストに関する詳細をホームに伝える簡単なスクリプトが含まれています。これらのパッケージは、ほとんどの場合、マシン名またはユーザー名以外の意味のあるデータを抽出せず、動作を隠そうとしないため、バグバウンティを探しているセキュリティ研究者の仕事である可能性があります。
したがって、Googleは、ほとんどのパッケージの難読化に関する難易度が低いことは、それらがセキュリティ研究者からのものであり、深刻な脅威をもたらさなかったことを示していると述べました。ただし、これは、攻撃者が感染したパッケージをインストールする人々に取り返しのつかない損害を与える可能性があることも意味します。
同社は、結果を一元化し、透明性を提供するために、リポジトリにアップロードされたパッケージをオープンなレポート標準で検証することが強く求められていることを強調しました。
コメントを残す