ハッカーは、攻撃に独自のコード パッケージを使用したり、オンライン リポジトリやパッケージ マネージャーを介して配布されたコード パッケージに悪意のあるコマンド ラインを挿入したりすることが増えています。 この詐欺は、ハッカーの間でますます人気が高まっています。 Check Point によると、2021 年から 2022 年にかけての増加は、すでに 600% を超えていました。
Check Point Software Technologies の研究部門である Check Point Research (CPR) は、不正なコード パッケージについてすべての IT セキュリティ担当者に警告しています。 ThreatCloud は、いくつかの悪意のあるオブジェクトを検出しました。 この詐欺は、大幅に増加しているサプライ チェーン攻撃とバリュー チェーン攻撃に数えられます。
信頼できるコード パッケージが感染している
サイバー犯罪者はさまざまな方法で起業家や個人のシステムに侵入しようとしますが、コード パッケージはハッカーの新しい手段です。 CPR によると、ここ数年、犯罪者はそれらを目的に悪用するケースが増えています。悪意のあるコマンド ラインを、オンライン リポジトリやパッケージ マネージャーを介して配布される実際のコード パッケージに密輸するか、正当に見える悪意のあるコード パッケージ自体を単にリリースするかのいずれかです。 とりわけ、これは、そのようなリポジトリの実際に信頼できるサードパーティ プロバイダーの評判を落とし、オープン ソースの広く普及している IT エコシステムに影響を与えます。 特にNode.js(NPM)やPython(PyPi)が狙われています。
例 1: 8 月 XNUMX 日、感染したコード パッケージ Python-drgn が PyPi にアップロードされました。これは、実際のパッケージ drgn の名前を悪用しています。 それをダウンロードして使用する人は、背後にいるハッカーがユーザーの個人情報を収集して、販売、なりすまし、ユーザー アカウントの乗っ取り、被害者の雇用主に関する情報の収集を可能にします。 これらはプライベート Slack チャンネルに送信されます。 危険なのは、Python 言語でインストールのみに使用され、ユーザーの操作なしで Python パッケージを自動的にフェッチする setup.py ファイルしか含まれていないことです。 他のすべての通常のソース ファイルが見つからないため、これだけでもファイルが疑わしいものになります。 したがって、悪意のある部分はこのセットアップ ファイルに隠されています。
パッケージ コードが Windows Defender を無効にする
例 2: Bloxflip.py の名前を悪用した感染コード パッケージ bloxflip も PyPi で提供されていました。 これにより、最初に Windows Defender が無効になり、検出が回避されます。 その後、Python の Get 関数を使用して実行ファイル (.exe) をダウンロードします。 次に、サブプロセスが開始され、機密性の高いシステムの開発者環境でファイルが実行されます。
2022 年は、この方法に対するセキュリティ研究者の警告がいかに重要であるかを示しています。悪意のあるコード パッケージの数は、2021 年と比較して 633% 増加しました。 自分自身を守るために、チェック・ポイントは次のようにアドバイスしています。 転送中と保存中の両方で、重要なデータを常に暗号化します。 使用されているコード パッケージの定期的な監査を実施します。
詳細は CheckPoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。