Homebrewは、macOS、Linux、Windows Subsystem for Linuxで動作するパッケージ管理システムのひとつです。
LinuxのDebian系に搭載されるAPTコマンドに似た使用感であることなどもあり、広く利用されています。
このHomebrewに関連する脅威が広く確認されています。
- 設置場所はGoogle広告
脅威アクターは脅威の入り口をGoogle広告で公開します。 - HomebrewをGoogle検索する
被害者候補はGoogleでHomebrewを検索します。
有名なツールですので、多数の検索結果が表示されます。
検索結果の上位には、あればGoogle広告の内容が優先的に表示されます。 - Google広告のHomebrewをクリックする
被害者候補はGoogle広告のHomebrewをクリックしました。
画面にはHomebrewのものにみえるコンテンツが表示されました。
コンテンツの中には、本家と同じようにHomebrewのインストールのためのコマンドが表示されています。
通常であれば、このコマンドを手元の環境で実行することで、Homebrewがインストールされます。
しかし、偽サイトに掲載されたコマンドを手元の環境で実行すると、マルウェアがインストールされます。
偽サイトは「brewe.sh」というURLで設置されていました。
しかし、Google広告としての表示の画面では、「brew.sh」と文字としては表示されていました。
しかし、実際に広告をクリックして向かう先は「brewe.sh」になるように広告が作成されていました。
Homebrewの本家のURLは「brew.sh」です。
なにがいけなかったのでしょうか。
Google広告の作成時に「Official Website」という宣伝文字を含んでいるのに、広告主が関係者だと思われない状態で広告を受け付けたのが良くなかったのでしょうか。
URLが本家のものに非常に似たものとなっていることを見抜けなかったのがいけなかったのでしょうか。
この種の攻撃において、ときには短縮URLが組み合わせて利用されることもあるでしょうから、審査の難しさは複雑化がとまりません。
単にGoogle広告の審査の甘さを攻めて済む問題とは思えません。
ちなみに、確認した時点では、このHomebrewのGoogle広告は表示されませんでした。
Google広告による検索結果候補には、「スポンサー」というラベルが表示されます。
すべてのGoogle広告に注意が必要ということではないのでしょうが、表示されている文字通りに不用意に信頼してスポンサーのリンクを使用するのはどうなんでしょうね。
利用できるセキュリティ機構はもちろん利用していくのですが、最後の部分は、自分の身は自分で守るということに尽きるかもしれません。
Developers, please be careful when installing Homebrew.
https://x.com/ryanchenkie/status/1880730173634699393
| この記事をシェア |
|
|---|
