Aqua Securityの研究者チームは4月26日(米国時間)、「Package Planting: Are You [Unknowingly] Maintaining Poisoned Packages?」において、パッケージ管理異ステム「npm」に悪意あるパッケージを仕込むことができるロジカルな欠陥が存在すると伝えた。同社はこの欠陥を「Package Planting (パッケージの植え付け)」と呼んでいる。
-
![Package Planting: Are You [Unknowingly] Maintaining Poisoned Packages?](images/001.jpg)
Package Planting: Are You [Unknowingly] Maintaining Poisoned Packages?
![Package Planting: Are You [Unknowingly] Maintaining Poisoned Packages?](/techplus/photo/article/20220429-2332558/images/001l.jpg)
npmユーザーは、ユーザーの承認を得ることなくほかのユーザーをパッケージのメンテナに追加することができるという。この機能を使うと、例えば悪意あるnpmパッケージを作成し、そこに数名のほかのユーザーをメンテナとして追加する。追加するのは信頼ができ人気の高いメンテナだ。実際には悪意のあるパッケージだが、メンテナとして人気のユーザーが記載されている。こうすることで悪意あるパッケージを人気のあるパッケージのように見せかけ、多くのユーザーに利用させようという手法だ。
このロジカルな欠陥はすでにGitHub/npmセキュリティチームへ報告されており、本稿執筆時点では再現することはできなくなっている。
最近、パッケージ管理システムや拡張機能といった開発者向けのサービスまたは機能を介して、マルウェアや悪意あるソフトウェアへの感染を広める動きが増えている。サイバー犯罪者は利用できるものはなんでも利用しようとする。ユーザーからは想像もできない方法で感染を試みることも多い。常にセキュリティ情報に注意するとともに、必要に応じて適切に対応していくことが望まれる。
野村證券を偽るフィッシングが急増中、だまされないよう注意を
