いろいろなインフラの上で悪意あるソフトウェアの公開が実施されています。
これまで話題に上がることが多かったものとしては、Python Package Index(PyPI)やnpmを思い出す方も多いことでしょう。
こういったものがなくなったわけではないのですが、その傾向は変化してきているようです。
各種専用言語系のこういったRepoでの悪意あるソフトウェアの検出の伸びに比較すると、最近はGitHubでの新たな悪性のソフトウェアの公開が増加しています。
そういった増加している活動を実施している脅威アクターのなかに、Banana Squadと呼ばれる脅威アクターがいます。
見えてきた特徴がありますのでいくつか見てみましょう。
- 一つだけ公開
正規のツールを一つ選択し、それを模倣して悪意あるソフトウェアを作成します。
そしてそれを公開するのですが、新たにGitHubユーザを作成し、そこにその模倣した悪意あるソフトウェアを公開します。
通常の開発者であれば時間の経過とともに複数のソフトウェアを公開することになることが多いように思われますが、Banana Squadの関与しているとみられる公開GitHubユーザではこの状況になっていました。
そのユーザの公開しているリポジトリが1つだから危険だ、となるものではありませんが、知っておきたい傾向です。 - 見えない追加コード
基本的には模倣した元のソフトウェアの内容はほぼそのまま利用されます。
しかし悪意あるコードを追加してあります。
その追加されたコードはしっかりソースコード上に配置されています。
しかしここで悪用するのは、GitHubの機能です。
GitHubのWebサイトには、公開されているソースコードの表示機能があるのですが、その表示機能では横幅が長い行がある際に、その行は折り返して表示されません。
このため、元の行の末端のさらに右側に、多数の空白文字を挿入してそのさらに右側に悪意あるコードを記述する方式を実施した場合、その悪意あるコードの部分は単にソースコードを表示する機能で表示しただけの状態ではまったく見えないのです。
いろいろな隠し方があるものです。
ちなみに、ソースコードの見えていなかった部分を見たとしてもその内容はすぐにはわかりません。
エンコードされた内容になっていますので、内容を把握するためにはデコードする必要があります。 - 絵文字で装飾
GitHubで公開されているソフトウェアには、Readmeが添えられています。
ここに概要が記載してあり、閲覧者はここを見てその内容を想像します。
今回確認された一連の悪意あるソフトウェアでは、この部分にもれなく絵文字での装飾が実施されていました。
概要の文面の中に「working」という文字が挿入されています。
現在アクティブに更新中ですよ、ということを示したいものなのでしょう。
そしてこのworkingを囲む形で絵文字が配置され、この活動中であることを強調する効果が狙われているようです。
この傾向がこのように記事になってしまっていますので、いつまでこの特徴が継続されるかはわかりませんが、これも注意すべき特徴の一つといえそうです。
ソフトウェア公開のプラットフォーム側で、さまざまな安全性向上の取り組みの導入が継続されています。
二要素認証の義務化、とかその種のものです。
こういった活動で、脅威アクターによる悪意あるソフトウェアの公開は以前に比較すると簡単ではなくなってきているかもしれません。
しかしいたずら目的の悪意は防げても、金銭目的の悪意は同じようにはいかないようです。
次々に新たな方法で忍び寄ってきます。
増加する新たな手口を継続的に把握し、引っ掛からないようにしていきたいですね。
Threat actor Banana Squad exploits GitHub repos in new campaign
https://www.reversinglabs.com/blog/threat-actor-banana-squad-exploits-github-repos-in-new-campaign
| この記事をシェア |
|
|---|
