最近、オープンソースリポジトリに隠された悪意のあるパッケージによるオープンソースサプライチェーン攻撃がセキュリティ業界の課題として浮上しています。誰でも自由に配布・インストールできるオープンソースリポジトリを悪用すると、ソフトウェアサプライチェーン攻撃の一環として、より簡単に数百、数千、または数万のIT環境にアクセスする経路を確保でき、深刻なセキュリティ問題となっています。今回の記事では、オープンソースを悪用するサプライチェーン攻撃の事例と、実際の攻撃に使用されたIoCやTTPなどの攻撃の分析について調べたいと思います。
特定企業を狙うターゲット・潜伏機能の搭載、精巧なオープンソースサプライチェーン攻撃
問題となったNuGetリポジトリの「SqzrFramework480.dll」パッケージは、スクリーンショットの撮影、pingパケットの送信、ソケットの開き及びデータの送信機能を持ち、特定の企業である「BOZHON Precision Industry Technology」を標的にしたことが判明しました。オープンソースサプライチェーン攻撃の例では、ユーザーの重要なデータを盗み出すことを目的とした情報窃盗型ソフトウェアが多く、このパッケージもスクリーンショットを撮影し、pingパケットを送信し、ソケットを開いてデータを送信する機能が含まれており、産業スパイの目的をしていることは明確でした。
このパッケージは、NuGetオープンソースリポジトリに2024年1月24日に初めて公開され、約3千回ほどダウンロードされたそうです。
このような悪意のあるパッケージは、リポジトリを永久に削除して対応することができますが、文字通りオープンソースであるため、適用範囲が非常に広大であり、すべての悪質なパッケージを検出することは不可能です。そのため、従来の対応方式だけでは限界があり、より包括的なアプローチが必要です。
もう一つの事例として、先日発見されたnpmリポジトリの「legacyreact-aws-s3-typescript」の悪質なパッケージの場合、数ヶ月間正常なように潜伏していた後、悪質なファイルをダウンロードする機能がありました。このパッケージはpostinstallスクリプトを使ってELFファイル形式をダウンロードし、実行しますが、このファイルはソケットを開いてコマンドを実行するバックドアでした。このように、オープンソースリポジトリのパッケージのインストールスクリプトは、悪意のある行為と関連する可能性が高いため、使用する前に、より徹底した検討が必要です。
タイポスクワッティングで隠された悪質なオープンソースパッケージ
オープンソースリポジトリを悪用する悪質なパッケージ攻撃のもう一つの特徴は、タイポスクワッティングです。
タイポスクワッティング(Typosquatting)とは、正常なURLやオープンソースパッケージの名前を巧妙に模倣してフィッシングサイトへ誘導したり、マルウェアをインストールするように誘導する手法を言います。上で説明したnpmリポジトリの悪意のあるパッケージも有名なパッケージである「react-aws-s3-typescript」を模倣し、「legacyreact-aws-s3-typescript」として配布しましたが、特に「legacy」という単語を含めて、まるで正常なパッケージのように認識させました。
オープンソースサプライチェーン攻撃に使用されたIPアドレス
npmオープンソースリポジトリで見つけた「legacyreact-aws-s3-typescript」パッケージを分析した結果、このパッケージはインストール後にELF形式のファイルをダウンロードして実行するポストインストールスクリプトが含まれていました。
このELF形式のファイルは、ソケットを開き、91[.]238[.]181[.]250のIPアドレスに接続してコマンドを受け取るバックドアであることが判明しました。
OSINT基盤の脅威ハンティングツールであるCriminal IPでこのIPアドレスを検索すると、C2 IPとして検出され、Snortタグで分類されていることが確認できます。IPスコアリングもインバウンドスコア99%で、Criticalに分類されました。
脅威ハンティングツールを活用したC2 IPアドレスの分析
91[.]238[.]181[.]250のIPアドレスで動作しているサービスにはNginxウェブサーバー(バージョン1.15.12)とOpenSSH(バージョン8.9p1)が確認され、Nginxサーバーは443番(HTTPS)と80番(HTTP)ポートを、OpenSSHサーバーは22番ポートを開放しています。
オープンポートでスキャンされた脆弱性も複数発見され、特にNginxにはCVE-2021-23017として識別される脆弱性があり、これはリモートでサービス拒否(DOS、Denial of Service)を引き起こす危険性があります。この脆弱性に対するCVSSv3スコアは7.7で、高リスクと評価されています。
IPアドレスに登録されたSSL証明書を見ると、ポート443番に「chromeupdatingmac[.]com」というドメインを含む証明書が確認され、この証明書はLet’s EncryptのR3認証機関によって発行され、有効期間は2024年5月14日から2024年8月12日までです。証明書のアルゴリズムはSHA256WithRSAを使用し、主な拡張機能にはデジタル署名、クライアント認証、サーバー認証が含まれています。また、検出されたJARMハッシュ値は、そのサーバーのTLS構成を表す指紋として使用することができます。
IPアドレスレポートの下部にある履歴情報には、IPアドレスの過去の履歴を確認できるデータがあり、ここで攻撃に使用されたこのIPアドレスに接続されたドメインを確認することができます。2020年から2024年まで「chromeupdatingmac[.]com」、「xaracc556[.]com」、「endhip[.]agency」の3つのドメインが接続されていることが確認でき、このうち「chromeupdatingmac[.]com」は上記のSSL証明書と関連していることが分かります。
これらのIPアドレス分析情報を総合すると、当IPアドレスは高いセキュリティ脅威を保有しており、当該C2 IPアドレスに対する積極的なモニタリングと対策が必要な状態であることが分かります。
オープンソースサプライチェーン攻撃に使用されたTTPs及びMITRE ATT&CK技術IDとステップ
オープンソースサプライチェーン攻撃事例で見られる主な戦術、テクニック、プロセス(TTPs)は以下の通りです。
- タイポスクワッティング(Typo-squatting):正当なパッケージに似た名前で悪意のあるパッケージを配布する
- ポストインストールスクリプトを利用した追加ペイロードのダウンロード
- オープンソースリポジトリの悪用によるソフトウェアサプライチェーン攻撃
MITRE ATT&CK技術IDに関連するステップは次のようです。
オープンソースの生態系は、個人の開発者だけでなく、企業や機関にも活性化され、技術発展の加速に良い影響を与えています。しかし、誰でも配布でき、使用できるオープンソースをサイバーセキュリティの観点からサプライチェーン攻撃のリスク要素として認識し、モニタリングすることも重要です。
関連して、Polyfillサプライチェーン攻撃:10万個以上のドメインにマルウェアを混入をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
