PythonなどOSSエコシステムを汚染する悪意あるパッケージが急増 リスクを避けるために何をすべきか：2022年から急増、2023年はさらに拍車

Snykは、2023年初めからこれまでに、オープンソースのPyPIおよびnpmパッケージのうち、悪意あるものが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

[＠IT]

　ソフトウェア開発者向けのセキュリティプラットフォームを手掛けるSnykは2023年3月23日（米国時間）、2023年初めからこれまでに、PyPIおよびnpmレジストリに登録されたオープンソースパッケージのうち、悪意あるパッケージが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

　この6762個のうち、Snykが発見したものは922個だった。オープンソースソフトウェア（OSS）のレジストリに登録されたこうした悪意あるパッケージは、ユーザーの入力ミスに付け込むタイポスクワッティングや、ユーザーをだますフィッシングなどを通じてサイバー攻撃に使用され、エコシステムを汚染する。

　Snyk（「スニーク」と発音）によると、同社がデータベースに追加した悪意あるパッケージは、2021年には82個だったが、2022年はその38.5倍の3157個に急増した。2023年は3月下旬の段階で、2022年の個数の2倍を優に上回っている。これらのうち同社が発見した悪意あるパッケージ数も、2021年の15個から2022年には1073個に跳ね上がっている。

2021年1月〜2023年3月にSnykがデータベースに追加した悪意あるパッケージ数（提供：Snyk）

　Snykは、悪意あるパッケージの追加数の急激な増加について、「こうしたパッケージの問題に関する認識の高まりに対応し、これらのパッケージを特定し、影響を無力化するための投資を増やしたことが大きな要因だ」と説明している。

　Snykは、さまざまなエコシステム（PyPIやnpmなど）で悪意あるパッケージのソースコードを検出、入手し、タイムリーに解析、公開できる動的解析ツールを開発した。さらに、オープンソースコミュニティーとのパートナーシップと協力により、悪意あるパッケージを公開している多くのリソースを追跡し、最新の情報が得られるようになっているとしている。

2種類の悪意あるパッケージ

　またSnykは、公開されている悪意あるパッケージの数は大幅に増えているが、全ての悪意あるパッケージが開発者にとって、同じリスクをもたらすわけではないと述べ、悪意あるパッケージを以下の2種類に大別している。

攻撃に悪用するには、ユーザーによる複数の操作を必要とするもの

　広く知られている悪意あるパッケージの多くは、フィッシングを狙ったものだが、これらのパッケージを攻撃に悪用するには、ユーザーによる複数の操作が必要になる。具体的には、攻撃者にとっては、ユーザーがリンクをクリックし、フィッシングサイトに誘導され、パッケージをダウンロードすることが必要だ。

攻撃に悪用するには、ユーザーがパッケージをダウンロードする操作のみが必要なもの

　インパクトの強い、悪意あるパッケージの多くは、パッケージのダウンロード以外のユーザー操作を必要としない。こうしたパッケージの方が、より重大なリスクをもたらす。ライフサイクルフック（プリインストールスクリプトやポストインストールスクリプトなど）を利用するものなど、こうした悪意あるパッケージは、マルウェアをダウンロードしたり、標的のマシンから機密情報を盗んだりする。

　Snykは2023年に入って、パッケージをダウンロードする以外のユーザー操作を必要としない悪意あるパッケージを、681個発見した。

悪意あるパッケージのリスクを避けるための注意点

　Snykは、悪意あるパッケージのリスクを避けるための主な注意点として、以下を挙げている。

• パッケージをインストールする前に、パッケージ名が、インストールしようとしたものと全く同じであることを確認する
• 未知の悪意あるパッケージがシステム内に存在しないように、プロジェクトやアプリケーションを定期的にスキャンする
• 疑わしい兆候（パッケージの他の全バージョンと比べて非常に高いバージョン番号や、タイポスクワッティングを狙った命名など）に注意を払い、ダウンロードしたパッケージのソースコードを点検する