Azure開発者をターゲットにした200を超える悪意のあるNPMパッケージ

個人を特定できる情報を盗むことを目的として、218以上の悪意のあるNPMパッケージを持つAzure開発者を標的とした新しい大規模なサプライチェーン攻撃が観察されています。
「これらのパッケージの一部を手動で検査した後、これが@azure NPMスコープ全体に対する標的型攻撃であることが明らかになりました。攻撃者は、自動スクリプトを使用してアカウントを作成し、そのスコープ全体をカバーする悪意のあるパッケージをアップロードしました。」JFrog研究者のAndreyPolkovnychenkoとShacharMenasheは、新しいレポートで述べています。
これは、悪意のある攻撃者が、ユーザーをだましてインストールさせることを期待して、正規のライブラリを模倣した名前の不正なパッケージをNPMやPyPIなどのパブリックソフトウェアレジストリにプッシュするときに発生します。
「攻撃者は、一部の開発者がパッケージをインストールするときに誤って@azureプレフィックスを省略している可能性があるという事実に依存しています」と研究者は述べています。
「たとえば、NPMユーザーの作成にCAPTCHAメカニズムを追加しても、攻撃者は悪意のあるパッケージをアップロードできる任意の数のユーザーを簡単に作成できず、攻撃の識別が容易になります。」