Google の OSV と CPE の課題解決について
OSV と CPE
炭治郎です。コロナ2日目です。
自分は知らなかったのですが、 Google が2021年2月に
OSV (Open Source Vulnerabilities
) と言う脆弱性DBを公開していました。
https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.html
この OSV に触れた国内記事はそれほど多くなく、 記事の内容自体も OSS-Fuzz について触れているケースが多そうでした。
ただ、自分的にはその点よりも以下の CPE の課題を解決してくれる点というのが非常に良さそうだと思いました。
This comes from the fact that versioning schemes in existing vulnerability standards (such as Common Platform Enumeration (CPE)) do not map well with the actual open source versioning schemes, which are typically versions/tags and commit hashes.
意訳すると、 CPE などが package manager 上の package 名などと対応していない問題があり、 それを OSV によって解決するという感じです。
この点について、既存のCPEを元にしたパッケージの特定の限界と、 OSV が良さそうという話をしてみようと思います。
続きを読むGitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告
GitHub の Reverse Proxy 型フィッシングサイトの発見と報告
こんにちは、でじこだにょ
今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論から書くと、24件のフィッシングサイトを新規に発見して報告しました。
今回はそれらのフィッシングサイトの探し方のほか、フィッシングサイトの検出方法や、 セーフブラウジングなどの話をしつつ、 今回見つけたフィッシングドメインに対して、簡単ではありますが、調査と考察を行ってみたいと思います。
探そうとしたきっかけ
数日前、 Twitter を見ていたところ、こちらのツイートが流れてきました。
あっぶね GitHubだと思ったら全然違ったわ pic.twitter.com/SRtHUu3XDM
— ./もぐもぐ.ps1 (@YumNumm) 2022年3月9日
画像を見る限り、対象ドメイン 520liyan[.]xyz
は GitHub を模したフィッシングサイトで、
いわゆる Reverse Proxy を用いたフィッシングサイトのように見えます。
パッケージマネージャで配布されるマルウェア、対策と課題について
はじめに
画像は記事に全く関係ないカニのフィギュアです👋
近年、善良なパッケージを騙ったマルウェアが配布されているケースが増えてきています。 これらのマルウェアはパッケージマネージャ上で配布され、開発者端末やそれをビルトインしたシステムを利用するユーザー端末で悪事を働きます。
これは俗にいうサプライチェーン型攻撃で、 これらの関連ニュースを目にする機会が増えてきていることを、多くの開発者が体感されていると思います。
ただ、これらのサプライチェーン型攻撃の記事は、 どうしてもエンドユーザー(パッケージを利用する開発者側・それらを組み込んだアプリを実行するユーザー側)の対策に焦点が当てられたものが殆どのように感じています。
そこで本記事では、このエンドユーザー側の対策だけではなく、 パッケージマネージャメンテナーたちがどう対策しているのかも含めて、 「パッケージマネージャ上で行われるマルウェア配布」と、 「これの攻撃からどう保護していくのか」について、現状の課題を含めて書いていこうと思います。
続きを読むパッケージファイルに擬態したマルウェアのコードを読む part1
ライブラリに擬態したマルウェアを見てく
今作ってるツールでどうしても複数の事例を知っておく必要があるので、 半分自分用に乱雑にまとめていく。
この記事では、主にPypi (Pythonのパッケージマネージャ)にて配布されていた 「ライブラリに似せた名前」のマルウェアのコードを見ていく。
とはいえ、かなりシンプルなものばかりだったので、 記事の内容的には微妙かも。
はじめに
近年、タイトルにある通りライブラリに擬態したマルウェアというのがそれなりに配布されていたりする。
これらは大抵の場合、 Typo Squatting
と呼ばれる攻撃手法をベースにしてライブラリとして公開・配布されている。
これらのマルウェアは、インストール・使用した端末に対して、なにかしらの悪性なコードを実行させることを狙っている。
そもそも Typo Squatting
とは、(大抵は)フィッシングサイトなどで悪用される攻撃テクニックで、
google[.]com
などと、正規のドメインをタイピングしなければならないところを、
タイピングミスを狙って gooogle[.]com
などと言った、少しだけズラしたドメインで、
悪性なサイトをホスティングし、被害者がタイポして悪性ドメインに訪れてくるのを待つ・・・という感じの攻撃が行われる。
先ほども書いた通り、大抵はフィッシングサイトで使われる攻撃手法だったのだが、
近年(特に観測範囲だと node.js, python 周り)で pypi などのパッケージマネージャーなどに
マルウェアが上げられていることがある。
これらのマルウェアでは、先ほど言った Typo Squatting
と呼ばれる攻撃手法が利用され、
有名なライブラリー名を少しだけズラした形でマルウェアが公開されていたりする。
つい最近の記事だと -
というライブラリが npm で配布されており、
70万回ダウンロードされたとか。
https://labs.cybozu.co.jp/blog/akky/2021/08/empty-npm-package-downloaded-sub-one-million-times/
こう言った背景もあり、Pypi から抽象構文木(AST)を使ったマルウェア検出を行った人がいたりする。 https://bertusk.medium.com/detecting-cyber-attacks-in-the-python-package-index-pypi-61ab2b585c67
まとめると、「問題ないライブラリと思ったら実はマルウェアでした」というのがこの攻撃の手法であり、 近年話題のサプライチェーン攻撃としてカテゴライズされている。
今回は「この辺りをもうちょっと(防御面で)なんとかできんのかー」と思い、 セコセコ亀のスピードで開発をしているツールのために、数個のマルウェアのコードを読んでいこうと思う。
なお、本記事はGithubやブログなどのオープンな情報をベースとしており、 マルウェアの流布などを目的とした反社会的行為を推奨してるわけではない。
続きを読むMINI Hardening Project #4.0@オンライン の参加レポ
サボテン実生(種から育てる)日記 - [ パキポ・アガベ・コミフォラ・フォークイエリア・オペルクリカリア ] 編
2021/07/20 に発芽本数の追記・修正
サボテン実生日記
さて、在宅ワークの最高の趣味といえばサボテン・多肉植物の育成と相場が決まっていますが、 今回2度目の実生(種からの育てつやつ)をやったので、経過など諸々書いてみようと思います。 (1度目は帝冠を実生し、全てカビで全滅させました・・・)
先人たちのブログがめっちゃ助かったので自分も書いておく
育てた植物
今回育てたのは以下の種です。
- パキポディウム・ウィンゾリー (Pachypodium baronii var. windsorii)
- アガベ・チタノタブルー (Agave titanota 'blue')
- アガベ・シャウィー (Agave shawii subsp. shawii)
- アガベ・クプレアータ (Agave cupreata)
- コミフォラ・プセウドパオリー (Commiphora pseudopaolii)
- コミフォラ・カンペストリス (Commiphora campestris var. campestris)
- フォークイエリア・フォルモサ (Fouquieria formosa)
- オペルクリカリア・ボレアリス (Operculicarya borealis)
ウィンゾリー以外は seedstok さんで購入。