Snykは、2023年初めからこれまでに、オープンソースのPyPIおよびnpmパッケージのうち、悪意あるものが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
ソフトウェア開発者向けのセキュリティプラットフォームを手掛けるSnykは2023年3月23日(米国時間)、2023年初めからこれまでに、PyPIおよびnpmレジストリに登録されたオープンソースパッケージのうち、悪意あるパッケージが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。
この6762個のうち、Snykが発見したものは922個だった。オープンソースソフトウェア(OSS)のレジストリに登録されたこうした悪意あるパッケージは、ユーザーの入力ミスに付け込むタイポスクワッティングや、ユーザーをだますフィッシングなどを通じてサイバー攻撃に使用され、エコシステムを汚染する。
Snyk(「スニーク」と発音)によると、同社がデータベースに追加した悪意あるパッケージは、2021年には82個だったが、2022年はその38.5倍の3157個に急増した。2023年は3月下旬の段階で、2022年の個数の2倍を優に上回っている。これらのうち同社が発見した悪意あるパッケージ数も、2021年の15個から2022年には1073個に跳ね上がっている。
Snykは、悪意あるパッケージの追加数の急激な増加について、「こうしたパッケージの問題に関する認識の高まりに対応し、これらのパッケージを特定し、影響を無力化するための投資を増やしたことが大きな要因だ」と説明している。
Snykは、さまざまなエコシステム(PyPIやnpmなど)で悪意あるパッケージのソースコードを検出、入手し、タイムリーに解析、公開できる動的解析ツールを開発した。さらに、オープンソースコミュニティーとのパートナーシップと協力により、悪意あるパッケージを公開している多くのリソースを追跡し、最新の情報が得られるようになっているとしている。
またSnykは、公開されている悪意あるパッケージの数は大幅に増えているが、全ての悪意あるパッケージが開発者にとって、同じリスクをもたらすわけではないと述べ、悪意あるパッケージを以下の2種類に大別している。
広く知られている悪意あるパッケージの多くは、フィッシングを狙ったものだが、これらのパッケージを攻撃に悪用するには、ユーザーによる複数の操作が必要になる。具体的には、攻撃者にとっては、ユーザーがリンクをクリックし、フィッシングサイトに誘導され、パッケージをダウンロードすることが必要だ。
インパクトの強い、悪意あるパッケージの多くは、パッケージのダウンロード以外のユーザー操作を必要としない。こうしたパッケージの方が、より重大なリスクをもたらす。ライフサイクルフック(プリインストールスクリプトやポストインストールスクリプトなど)を利用するものなど、こうした悪意あるパッケージは、マルウェアをダウンロードしたり、標的のマシンから機密情報を盗んだりする。
Snykは2023年に入って、パッケージをダウンロードする以外のユーザー操作を必要としない悪意あるパッケージを、681個発見した。
Snykは、悪意あるパッケージのリスクを避けるための主な注意点として、以下を挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.