NPM JavaScriptレジストリはマルウェアの大量流入に苦しんでいる、とレポートは述べています、Shweta Sharma

https://www.csoonline.com/article/3649091/npm-javascript-registry-suffers-massive-influx-of-malware-report-says.html#tk.rss_all
セキュリティ会社WhiteSourceの調査によると、人気のあるNPM JavaScriptパッケージマネージャーとレジストリは悪意のあるパッケージの流入に見舞われており、その中で最も有害なものはデータの盗難、暗号マイニング、ボットネット、リモートコード実行に関連しています。
WhiteSourceの自動マルウェア検出プラットフォームであるWhiteSourceDiffendは、2021年12月までの6か月間に、NPMで合計1,300の悪意のあるパッケージを検出しました。
WhiteSourceによって識別されたすべての悪意のあるパッケージはNPMに通知され、その後パッケージレジストリから削除されました。
Mos-sass-loaderおよびcss-resources-loader:人気のあるNPMパッケージstyle-resource-loaderおよびsaas-loaderをエミュレートし、悪意のあるソースコードを挿入してサードパーティの情報スティーラーをダウンロードし、リモートコード実行のための接続を取得するように設計されたパッケージ(RCE);
Circle-admin-web-appおよびbrowser-warning-ui:マルウェアを含むOS固有の外部パッケージをダウンロードしてRCEを開始するように設計された悪意のあるコードを含むパッケージ。
Noopenpaint:悪意のあるコードを含まないトロールパッケージで、いくつかのアプリケーションを順番どおりに起動せず、「ハッキングされました。 @grubhubprodcookbook:パッケージは、依存関係の混乱を利用して、Grubhubを具体的にターゲットにし、データを傍受してリモートの場所に送信します。 Azure-web-pubsub-express:システムデータとネットワークインターフェイスの詳細を収集してinteractsh.comに送信する、有害な意図のないセキュリティ調査パッケージ。 Reac1とreect1:リサーチパッケージを装い、ホストシステムからwebhook.comにhttpリクエストを送信しようとするモックドリルパッケージ。 Mrg-message-broker:@grubhubprodcookbookと同様に、依存関係の混乱を使用して環境データを盗みます。 @ sixt-web / api-client-sixt-v2-apps:インストール時にシステムデータを集約する別の依存関係の混乱パッケージ。 @ maui-mf / app-auth:AWSメタデータサービスインスタンスロールの検出を実行し、それらを外部の偽のドメインに送信する潜在的なSRRF(サーバー側リクエストフォージェリ)攻撃パッケージ。これらの攻撃の大部分は、暗号マイニング、データ盗用、ボットネット、セキュリティ調査など、4つの有害な脅威カテゴリに分類されます。セキュリティ調査パッケージは、セキュリティ調査プログラムを装ったものですが、実際には、ホストへのフルアクセスを目的としたリモートコード実行(RCE)が含まれています。その他の害の少ないパッケージには、スクリプトキディとSEOハックが含まれていました。 「スクリプトキディは、害を及ぼしたりデータを収集したりすることはありませんが、「ハッキングされました」などの不快なメッセージを出力するパッケージです」と、WhiteSourceのシニアプロジェクトマネージャーであるMaciejMansfeldは述べています。 「いくつかのパッケージは、NPMがオンラインレジストリにパッケージのREADMEを表示して、オンラインプレゼンスのためにSEOを構築するという事実を利用しようとしています。オンラインカジノやエロティックなウェブサイトがそれを悪用しようとしているのを見てきました。」 依存関係の混乱は大きな脅威をもたらしますレポートでは、特にNPMでの依存関係の混乱を悪用しようとする攻撃、および攻撃が機能するために不正なコードのほとんどを手動でダウンロードする必要がないという事実について注意することを推奨しています。「依存関係の混乱攻撃は、パッケージマネージャーが意図されたコードではなく悪意のあるコードを提供するように操作されているときに発生するサプライチェーン攻撃の一種です」とMansfeld氏は言います。 「この脆弱性を悪用する最も有名な方法は、パッケージマネージャーの優先順位付けメカニズムを使用して最新バージョンを提供することです。」このような場合、攻撃者は内部依存関係パッケージ名を正常に見つけると、同じ名前でより高いバージョン番号のパブリックパッケージを作成できます。悪意のあるパブリックパッケージは、パッケージマネージャーによって優先され、更新が呼び出されるたびに自動的にインストールされます。 NPMで安全を保つ方法レポートでは、システムにゼロトラストポリシーを採用し、パッケージの内容に自信がある場合にのみ更新することを推奨しています。環境を認識し、定期的に変更を追跡します。分離されたステージで継続的インテグレーション(CI)を実行します。 SDLC(ソフトウェア開発ライフサイクル)を注意深く監視します。Mansfeldによると、インストール時にリモートコンポーネントをダウンロードするパッケージに注意し、使用されているすべてのOSS(運用サポートシステム)コンポーネントを追跡することも、NPMエンドユーザーにとって優れた衛生ルーチンです。Copyright©2022IDG Communications、Inc。

コメント

タイトルとURLをコピーしました