14万の悪意のあるパッケージがNuGet・NPM・PyPiに、開発者はリストの確認を

Checkmarxは12月14日(米国時間)、「How 140k NuGet, NPM, and PyPi Packages Were Used to Spread Phishing Links|Checkmarx.com」において、NuGet、NPM、PyPiエコシステムで重大な異常が発見されたと伝えた。この異常はCheckmarxとIllustriaの共同研究によって発見されたと報告されている。

CheckmarxとIllustriaの共同研究によって判明したNuGet、NPM、PyPiの主な異常の概要は次のとおり。

  • NuGet、NPM、PyPiに14万4000以上の悪意のあるパッケージが同じ脅威者によって作成された
  • 攻撃者がフィッシングキャンペーンへのリンクを含むパッケージをオープンソースのエコシステムに送りつけるという、新しい攻撃が明らかとなった
  • すべてのパッケージと関連するユーザアカウントは、自動化によって作成された可能性が高い
  • これらのパッケージは類似したプロジェクトの説明と自動生成された名前を共有
  • この脅威者アクターは紹介IDを持つ小売サイトを利用し、紹介報酬で利益を得ていた
  • ほとんどのパッケージは非公開だった

発見されたこのフィッシングキャンペーンの規模は大きいとされており、悪意のあるパッケージのリストがGitHub Gistに公開されている(参考「illustria checkmarx phishing campaign package list|GitHub Gist」)。

国内最大級の品揃え【DMMブックス】ロリポップ!

情報元
https://news.mynavi.jp/techplus/article/20221218-2539545/