Zenn
🏇

持続的なnpmキャンペーン:トロイの木馬化されたjQueryが流通

2024/07/11に公開
jQuery
npm
脆弱性
オープンソース
トロイの木馬
tech

はじめに

最近技術を追うことが中々出来ない状態の @___nix___ です。

近年、オープンソースパッケージの利用が一般的になる中、セキュリティリスクも増大しています。NPMパッケージレジストリとGitHubで発見された、jQueryを偽装した悪意あるキャンペーンについて詳しく見ていきましょう。

https://blog.phylum.io/persistent-npm-campaign-shipping-trojanized-jquery/

脆弱性の概要

攻撃者は、人気のjQueryライブラリを模倣した偽のパッケージをNPMとGitHubにアップロードしています。これらのパッケージは正規のjQueryコードと悪意のあるコードを組み合わせており、開発者を騙して使用させることを目的としています。

脆弱性の詳細

この攻撃は2022年12月から継続しており、NPMとGitHubの両プラットフォームで確認されています。攻撃者は定期的に新しいバージョンをアップロードし、パッケージ名を少し変更したり(例:jquary, jquery-npm)、追加機能を謳ったりして開発者を引き付けています。一部の偽パッケージは数千回もダウンロードされており、その影響は広範囲に及んでいます。

脆弱性の技術的説明

偽パッケージに含まれる悪意のあるコードは、被害者のシステムから機密情報を盗み出そうとします。具体的には、環境変数、ファイルシステム情報、ネットワーク設定などの重要なデータを収集し、攻撃者のサーバーに送信します。また、バックドアを作成して、攻撃者がシステムに継続的にアクセスできるようにする場合もあります。

脆弱性の確認方法

1. コードの直接確認

jQueryファイル(例:jquery.min.js)を開き、以下のメソッドの実装を確認します。

  • end メソッド:
    end: function() {
  return this.prevObject || this.constructor();
}

このコードが異なる場合、トロイの木馬の可能性があります。

2. ハッシュ値の比較

ターミナルで以下のコマンドを実行し、jQueryファイルのSHA-256ハッシュを計算します。

```
# Linux/macOS (Homebrew)
sha256sum path/to/jquery.min.js

# macOS (デフォルト)
shasum -a 256 path/to/jquery.min.js

# Windows
certutil -hashfile path\to\jquery.min.js SHA256
```

得られたハッシュ値を、jQueryの公式サイトやCDNで提供されているハッシュ値と比較します。

3. パッケージの出所確認

package.jsonファイルを開き、jQueryの依存関係を確認します。

"dependencies": {
  "jquery": "^3.6.0"
}

バージョン番号が正しいこと、そして公式のnpmレジストリからインストールされていることを確認します。

これらの方法を組み合わせることで、トロイの木馬のような脅威をより効果的に検出できます。ただし、完全な保証はないため、常に警戒を怠らず、公式ソースからパッケージをインストールするなど、基本的なセキュリティプラクティスを遵守することが重要です。

必要なアクション

  1. 偽のjQueryパッケージを使用していることが判明した場合、直ちに削除する。
  2. 正規のjQueryパッケージを公式ソースからインストールする。
  3. プロジェクト全体のセキュリティ監査を実施し、他の潜在的な脅威がないか確認する。
  4. パスワードやAPIキーなど、重要な認証情報を変更する。

予防措置

  1. 常に公式ソースからパッケージをダウンロードする。
  2. パッケージの評判、ダウンロード数、最終更新日を確認する。
  3. package-lock.jsonファイルを使用して、依存関係のバージョンを固定する。
  4. 定期的にnpm auditを実行し、脆弱性をチェックする。ただし、npm auditだけでは新しい脅威や巧妙に偽装されたパッケージを検出できない場合があることに注意する。
  5. サードパーティのセキュリティツールを使用して、依存関係をスキャンする。
  6. GitHubリポジトリを使用する場合、スター数や貢献者の信頼性を確認する。

終わりに

オープンソースパッケージの利用は開発効率を向上させますが、セキュリティリスクも伴います。今回のjQuery偽装パッケージの事例は、NPMとGitHubの両方で確認され、開発者がパッケージの選択と使用に細心の注意を払う必要性を再認識させます。適切な予防措置と定期的なセキュリティチェックにより、このような脅威からプロジェクトを守ることができます。セキュリティは開発プロセスの不可欠な部分であり、常に警戒を怠らないことが重要です。

一言

この記事は @___nix___, Gemini 1.5 Pro, GPT-4o, Claude 3.5 Sonnet による共同執筆でした。
それぞれ好き勝手言う生成AIをまとめながら少しでも興味深い内容に仕上げてみました。

アディオス!

Discussion