PythonなどOSSエコシステムを汚染する悪意あるパッケージが急増 リスクを避けるために何をすべきか2022年から急増、2023年はさらに拍車

Snykは、2023年初めからこれまでに、オープンソースのPyPIおよびnpmパッケージのうち、悪意あるものが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

» 2023年03月30日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ソフトウェア開発者向けのセキュリティプラットフォームを手掛けるSnykは2023年3月23日(米国時間)、2023年初めからこれまでに、PyPIおよびnpmレジストリに登録されたオープンソースパッケージのうち、悪意あるパッケージが6762個見つかり、同社のデータベースに追加されたと報告し、2022年以降の悪意あるパッケージの急増について警告した。

 この6762個のうち、Snykが発見したものは922個だった。オープンソースソフトウェア(OSS)のレジストリに登録されたこうした悪意あるパッケージは、ユーザーの入力ミスに付け込むタイポスクワッティングや、ユーザーをだますフィッシングなどを通じてサイバー攻撃に使用され、エコシステムを汚染する。

 Snyk(「スニーク」と発音)によると、同社がデータベースに追加した悪意あるパッケージは、2021年には82個だったが、2022年はその38.5倍の3157個に急増した。2023年は3月下旬の段階で、2022年の個数の2倍を優に上回っている。これらのうち同社が発見した悪意あるパッケージ数も、2021年の15個から2022年には1073個に跳ね上がっている。

2021年1月〜2023年3月にSnykがデータベースに追加した悪意あるパッケージ数(提供:Snyk)

 Snykは、悪意あるパッケージの追加数の急激な増加について、「こうしたパッケージの問題に関する認識の高まりに対応し、これらのパッケージを特定し、影響を無力化するための投資を増やしたことが大きな要因だ」と説明している。

 Snykは、さまざまなエコシステム(PyPIやnpmなど)で悪意あるパッケージのソースコードを検出、入手し、タイムリーに解析、公開できる動的解析ツールを開発した。さらに、オープンソースコミュニティーとのパートナーシップと協力により、悪意あるパッケージを公開している多くのリソースを追跡し、最新の情報が得られるようになっているとしている。

2種類の悪意あるパッケージ

 またSnykは、公開されている悪意あるパッケージの数は大幅に増えているが、全ての悪意あるパッケージが開発者にとって、同じリスクをもたらすわけではないと述べ、悪意あるパッケージを以下の2種類に大別している。

攻撃に悪用するには、ユーザーによる複数の操作を必要とするもの

 広く知られている悪意あるパッケージの多くは、フィッシングを狙ったものだが、これらのパッケージを攻撃に悪用するには、ユーザーによる複数の操作が必要になる。具体的には、攻撃者にとっては、ユーザーがリンクをクリックし、フィッシングサイトに誘導され、パッケージをダウンロードすることが必要だ。

攻撃に悪用するには、ユーザーがパッケージをダウンロードする操作のみが必要なもの

 インパクトの強い、悪意あるパッケージの多くは、パッケージのダウンロード以外のユーザー操作を必要としない。こうしたパッケージの方が、より重大なリスクをもたらす。ライフサイクルフック(プリインストールスクリプトやポストインストールスクリプトなど)を利用するものなど、こうした悪意あるパッケージは、マルウェアをダウンロードしたり、標的のマシンから機密情報を盗んだりする。

 Snykは2023年に入って、パッケージをダウンロードする以外のユーザー操作を必要としない悪意あるパッケージを、681個発見した。

悪意あるパッケージのリスクを避けるための注意点

 Snykは、悪意あるパッケージのリスクを避けるための主な注意点として、以下を挙げている。

  • パッケージをインストールする前に、パッケージ名が、インストールしようとしたものと全く同じであることを確認する
  • 未知の悪意あるパッケージがシステム内に存在しないように、プロジェクトやアプリケーションを定期的にスキャンする
  • 疑わしい兆候(パッケージの他の全バージョンと比べて非常に高いバージョン番号や、タイポスクワッティングを狙った命名など)に注意を払い、ダウンロードしたパッケージのソースコードを点検する

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。