悪用リスクに注意 プライベートなnpmパッケージの存在を外部から確認可能――セキュリティ研究者が発見
Aqua Securityのセキュリティ研究者がプライベートなnpmパッケージの存在の有無を確認する方法を発見した。この事象は既にGitHubに報告されているが、GitHubはアーキテクチャの制約によってこの手の攻撃を回避することはできないと回答している。
オープンソースソフトウェアのエコシステム活用が進む中、サイバー犯罪者は人気のあるバージョン管理システムやホスティングサービスをサイバー攻撃に利用している。こうしたサイバー攻撃のルートとしてNode.jsのデフォルトのパッケージマネジャー「npm」の悪用が進む可能性がある。
Aqua Securityは2022年10月12日(現地時間)、同社のブログでプライベートなnpmパッケージの存在の有無を確認する方法が存在すると伝えた。この方法を利用されるとプライベートに保持しているnpmパッケージを犯罪者に知られる可能性があり、そのリストを使ってサイバー攻撃を実施される可能性があるとされている。
プライベートnpmが存在するかどうかを調べる方法
Aqua Securityのセキュリティ研究者が発見したのは一連のnpm API要求を連続して送信し、対応時間を計測する方法だ。約5回の連続送信でプライベートパッケージが存在するかどうか、または過去には存在していたが現在は削除されているかどうかを調査できるとされている。
サイバー攻撃には、任意の正規パッケージを装って実際にはその中に悪意あるコードを忍ばせるという手法があるが、今回Aqua Securityが発見した方法もこうしたサイバー攻撃に悪用される可能性がある。
Aqua SecurityはすでにGitHubに同脆弱(ぜいじゃく)性を報告している。しかしGitHubは「アーキテクチャの制限によって、タイミング攻撃を使って特定のプライベートパッケージがnpmに存在するかどうか調べるのを防ぐことは難しい」と回答している。つまりこの方法は今後長期にわたって存在し続ける可能性が高いと言える。
Aqua Securityは対策として、パッケージ管理プラットフォームにおける組織のプライベートパッケージとパブリックパッケージの一覧を収集し、プライベートパッケージと同じ名前のパッケージが他に存在していないかどうか、あえて間違いやすいように似た名前を使ったパッケージが存在しないかどうかを調査し、存在する場合にはそれらのパッケージにマルウェアが含まれているかどうかを確認することを推奨している。
また事前にサイバー攻撃に利用されることを防ぐために、プライベートパッケージと同じ名前のパブリックパッケージが存在しなかった場合には、プレースホルダーとして同じ名前でパブリップパッケージを作成することを検討するようにアドバイスしている。
関連記事
- 誰でも手軽にフィッシング詐欺が可能? PhaaS「Caffeine」に注意
Mandiantは新たなフィッシング・アズ・ア・サービスのプラットフォーム「Caffeine」を発見した。サイバー犯罪者が簡単かつ効果的にフィッシング詐欺を実行できるツールとして注目が集まっている。 - Microsoftが10月の累積更新プログラムの配信を開始 迅速に適用を
Microsoftは2022年10月の累積更新プログラムの配信を開始した。複数の製品が修正対象となっているため、迅速にアップデートを適用してほしい。 - Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を
Fortinetは複数製品に深刻度「緊急」(Critical)の脆弱性が存在すると発表した。該当製品を使用している場合、直ちに内容を確認するとともにアップデートおよび回避策を適用してほしい。 - 誰かが「安全」といえば信じるの? “分かりやすい”セキュリティ対策の落とし穴
セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.