Checkmarxは2月21日(米国時間)、「How NPM Packages Were Used to Spread Phishing Links|Checkmarx.com」において、1万5,000を超える偽のパッケージがnpmに追加されているとして、注意を呼び掛けた。偽パッケージは数時間以内に一気にアップロードされており、フィッシングキャンペーンに悪用されていることが指摘されている。
Checkmarxが指摘する主な内容は次のとおり。
- npmオープンソースエコシステムに異常が見つかった。数時間以内に複数のアカウントから1万5,000を超える偽パッケージがアップロートされた
- アップロードされたファイルのREADME.mdファイルにフィッシングキャンペーン用のリンクが含まれている
- 登録されたパッケージは自動化されたプロセスを通じて作成されており、プロジェクトの説明と自動生成された名前は互いによく似ている
- サイバー攻撃者は紹介IDを使って小売Webサイトを参照し、獲得した紹介報酬から利益を得ている
サイバー攻撃者はパッケージの生成を自動化することで短時間で多くのパッケージを作成し、さらに多くのアカウントを作成してアップロードを行うことで攻撃者の追跡を困難にする手段を使っている。こうした取り組みはサイバー攻撃者が絶えず状況に適応し、新しい予期しない方法で攻撃を仕掛けており、対応が難しい状況になっていることを示していると指摘されている。
このところ、オープンソース・ソフトウェアのパッケージエコシステムに偽のパッケージを追加してサイバー攻撃を行う手法が増えている。こうしたサードパーティ製のパッケージを使用する際は、対象とするパッケージが正規のものであるか注意深く内容を確認することが望まれる。