- Googleの脅威分析グループ(TAG)は最近、セキュリティ研究者を標的とした攻撃があり、そこで悪用されたゼロデイ脆弱性が存在することを確認しました。
- ゼロデイ脆弱性は当該ベンダーに報告されており、パッチが進行中です。
- 北朝鮮の攻撃者はTwitterなどのソーシャルメディアを通じて標的と活発にやり取りし、関係を構築していました。
- 実際に、あるセキュリティ研究者とは共通の関心テーマについて数か月にわたり会話を重ね、信頼を築いていました。
- その後、暗号化メッセージングアプリへ移り、人気のあるソフトウェアパッケージに対する少なくとも1件のゼロデイ脆弱性を含む悪意あるファイルを送信しました。
- 悪用に成功すると、シェルコードは仮想マシン検査を行い、各種情報を攻撃者のサーバーへ送信しており、これは以前に発見された北朝鮮による脆弱性攻撃と類似した手法で実装されていました。
- また、ゼロデイ脆弱性を用いた標的型攻撃に加え、リバースエンジニアリング向けのオープンソースツールを開発してGitHubで公開していました。
- このプログラムは2022年9月30日に初めて公開され、その後も活発に開発されて複数回の更新がありました。
- しかしこのツールには、攻撃者のサーバーから任意のコードをダウンロードして実行できるバックドアが含まれていました。
- TAGは、このツールを使用した場合はシステムを検査し、必要であればOSを再インストールすることを推奨しています。
- 特定されたすべての悪意あるWebサイトとドメインはGoogle セーフ ブラウジングに追加され、影響を受けた可能性のあるGoogleアカウントには政府支援型攻撃に関する警告が送信されました。
- また、dbgsymbol、blgbeach、@Paul091_ など、すべての悪意あるドメイン、ファイル、アカウントも公開しました。
5件のコメント
標的型攻撃も恐ろしいですが、オープンソースプロジェクトに悪意あるコードが混入していた点は、さらに注意が必要だと感じます。
当該ツールのソースコード自体は正常だったものの、GitHub Release に含まれていたファイルにはマルウェアが仕込まれていたそうです。
GitHub のスターも 200 件を超えていたとか…。
突然、立て続けにセキュリティ関連のニュースが出てきていますね。皆さんもセキュリティに気を配る必要がありそうです。
ソースコードはそれでも検証されるだろうと思っていましたが、Release版とは違うかもしれないという発想はありませんでしたね。セキュリティに終わりはないですね..
これも一種のサプライチェーン攻撃のようです。
ちょうど1か月前にリリースされた Go 1.21.0 では、初めて自分たちのツールチェーンのビルド成果物が完全に再現可能であるという内容の記事をブログに掲載していました。その記事の最初の2段落は次のとおりです。
Perfectly Reproducible, Verified Go Toolchains
> オープンソースソフトウェアの大きな利点の1つは、誰でもソースコードを読んでその機能を調べられることです。しかし、ほとんどのソフトウェアは、オープンソースソフトウェアであっても、コンパイル済みバイナリの形でダウンロードされるため、調査ははるかに困難です。攻撃者がオープンソースプロジェクトに対してサプライチェーン攻撃を実行する場合、ソースコードを変更せずに配布されるバイナリを差し替えるのが、最も目立たない方法です。
>
> この種の攻撃に対抗する最善の方法は、オープンソースソフトウェアのビルドを再現可能にすることです。つまり、同じソースから始めたビルドが、実行するたびに同じ出力を生成するようにすることです。そうすれば、誰でも実際のソースからビルドし、再ビルドしたバイナリが公開されたバイナリとビット単位で同一かどうかを確認でき、公開されたバイナリに隠れた変更がないことを検証できます。このアプローチにより、バイナリを分解したり中身をのぞいたりしなくても、バイナリにバックドアやソースコードにないその他の変更が含まれていないことを証明できます。誰でもバイナリを検証できるので、独立したグループがサプライチェーン攻撃を容易に検知し、報告できるようになります。(DeepL訳)
なぜこんなことを心配するのかと思っていたら、すでに約1年前からこの種の攻撃がひそかに行われていたようです。ああ、なんとも物騒な世の中だ……
私もGitHubにコードと一緒に上がっているものは少しだけ信頼しがちなんですが……気をつけないとですね。
結局、いつもコードレビューをして自分でビルドするしかないんですかね……
HNスレッドのAI要約