オープンソースリポジトリに対する攻撃が報告されています。2020年に発覚したSolarWinds社のネットワークを一元管理する製品へのサイバー攻撃はソフトウェアのサプライチェーン攻撃の脅威をまざまざと見せつけたわけですが、オープンソースリポジトリに対するサイバー攻撃もソフトウェアの信頼を揺るがす恐れのある攻撃です。
情報を盗むマルウェアを投下するコード
Python(パイソン)は1991年に開発されたオープンソースのプログラミング言語でアプリケーション開発やデータ解析などに加え、AI(人工知能)の開発でも使われている昨今、非常に人気の高いプログラミング言語だということです。Pythonには、プログラミングの際に使える様々なパッケージが用意されており、標準ライブラリに収納されています。標準ライブラリはPythonをインストールすると一緒にインストールされるのでPythonでプログラミングをする際は標準ライブラリの様々なパッケージを活用することができ、標準ライブラリのパッケージによって思い通りのプログラミングが可能になるということです。
標準ライブラリに収納されているパッケージはいわばPythonの公式パッケージでその種類は限定的ですが、Pythonには標準ライブラリとは別にサードパーティのライブラリであるPyPi(The Python Package Index)があり、PyPiには第三者が作成したパッケージが日々登録されていて、数や種類が豊富でPythonをさらに魅力的なプログラム言語にしています。Pythonでプログラミングをするソフトウェア開発者は、自分が求めるパッケージをPyPiから探してダウンロードして使うことができます。標準ライブラリに収納されているパッケージはPythonをダウンロードするとすべて一緒にダウンロードされますが、PyPiのパッケージは、必要とするパッケージをパッケージごとにダウンロードして使うことになります。
オープンソースのプログラミング言語であるPythonは、エンジニアたちが開発したパッケージがリポジトリ(収納庫)であるPyPiに日々登録され、そのパッケージを他のエンジニアがダウンロードして使うことでさらに魅力的なプログラミング言語へと成長し続けているわけですが、フォーティネットの最近のレポートによるとPyPiに今年1月7日に登録されたパッケージ「colorslibe」と「httpslib」、さらに1月12日に登録されたパッケージ「libhttps」は、ダウンロードして実行した開発者のシステムに情報を盗むマルウェアを投下するコードが含まれていたということです。これらパッケージは同じ作成者によって登録されており、現在はPyPiから削除されているということです。
パブリックリポジトリへの攻撃が急増している
PyPiへの脅威アクターによる攻撃については、ソフトウェアのサプライチェーンセキュリティを手がけているReversingLabsも昨年8月に悪意のあるパッケージを検出したことを明らかにしており、同社によるとPyPiのようなパブリックリポジトリで見つかる悪意のあるパッケージは決して新しい脅威ではないということです。しかし、オープンソースパッケージへの依存度が高まるにつれて、PyPiのようなリポジトリへの攻撃は増加しており、PyPiとJavaScript系のパッケージリポジトリであるnpmへの攻撃は2018年以降、289%も増加しているということです。さらにパブリックリポジトリに対する脅威は、悪意のあるパッケージの拡散にとどまらず、リポジトリのユーザーを標的としたフィッシングキャンペーンなども報告されているということです。
ReversingLabsによると、推定ながら現在のアプリケーションの75%はオープンソースのソフトウェアライブラリとコンポーネントを基盤に開発されているということです。それだけにオープンソースのパブリックリポジトリに対するサイバー攻撃が増加している状況についてReversingLabsは、オープンソースベースのサプライチェーン攻撃を防ぐ準備が十分に整っていないと警鐘を鳴らしています。
■出典
https://www.reversinglabs.com/blog/new-malicious-packages-in-pypi-repo