今週気になったIT関連のニュース

2021年7月19日～2021年7月25日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• NPMで悪意あるパッケージが公開されていた
• NSO GroupのPegasus Spyware解析レポート
• 主要なパスワードマネージャーの仕様とautofillの危険性について
• Discordがマルウェアの配布に利用されている
• 最後に

NPMで悪意あるパッケージが公開されていた

What

• NPMで公開されているパッケージに悪意のある機能が見つかった。
• Chromeに保存されたパスワードを盗んだり、TeamViewerのリモートアクセスツールをダウンロードした。
• jstestというJavaScriptのテストツールをハイジャックして、ファイルのアップロードや任意コードの実行、画面やカメラ記録などの機能を提供していた。
• 使用するライブラリのチェックを細かくしている開発者はとても少ない気がする。
  • Googleが開発しているScorecardを上手く活用したら状況は改善されるだろうか？
  • Google releases new open-source security software program: Scorecards
  • GitHub ossf/scorecard

When

• 2021年7月2日、2021年7月15日 NPMのセキュリティチームに2回報告
• 2021年7月21日以降？ 問題のパッケージが削除された

関連記事

• Malicious NPM Package Caught Stealing Users' Saved Passwords From Browsers

NSO GroupのPegasus Spyware解析レポート

What

• 昨今話題のPegasus Spywareのフォレンジック報告資料
• 2014年から2021年まで、ざっくりとどのようなスパイ活動をしてきたのかの雰囲気を掴むことができる。
• 具体的な実行プロセスなども記載されている。
• 調査のためのツールもGithubで公開されている。
  • GitHub mvt-project mvt
• 調査ツールの機能
  • Decrypt encrypted iOS backups.
  • Process and parse records from numerous iOS system and apps databases and system logs.
  • Extract installed applications from Android devices.
  • Extract diagnostic information from Android devices through the adb protocol.
  • Compare extracted records to a provided list of malicious indicators in STIX2 format. Automatically identify malicious SMS messages, visited websites, malicious processes, and more.
  • Generate JSON logs of extracted records, and separate JSON logs of all detected malicious traces.
  • Generate a unified chronological timeline of extracted records, along with a timeline all detected malicious traces.
• ツールはPythonで書かれている。スマホアプリの調査が必要になったときに参考になるかもしれない。

関連記事

• Forensic Methodology Report: How to catch NSO Group’s Pegasus | Amnesty International

主要なパスワードマネージャーの仕様とautofillの危険性について

What

• 記事内では非常に細く検証をしているので、かなり抜粋したメモ書き。
• 各ブラウザに含まれるパスワードマネージャー機能と、パスワードマネージャーとして公開サれているアプリケーションの仕様について検証している。
• ログイン画面表示時に利用者が何もせずともフォームに情報を入力する機能が無いほうがセキュリティ的には好ましい。
• ChromeやChromeベースのブラウザはユーザから何かしらの反応が無いとパスワードを入力しないという機能があるらしい。
• パスワードマネージャーに保存された情報をXSSで取得するデモが含まれている。
• お勧めなのは、Webサイトを表示した時に自動入力される機能がない（もしくはOFFにできる）パスワードマネージャ。
  • パスワードマネージャのUIをユーザがクリックすることで情報が入力される形式が良い。

関連記事

• You should turn off autofill in your password manager | Marek Tóth

Discordがマルウェアの配布に利用されている

What

• Doscordのシステム環境が攻撃者に利用されている。
• CDNはマルウェアのホストに利用され、APIはデータの盗難やC2用途で利用されている。
• 2021年4月にはDicsordのCDNに9,500の悪意あるURLが存在した。数カ月後には17,000に急増していた。
• Discordのチャット機能はフィッシングメッセージやマルウェアリンクの配信に利用される。

関連記事

• Discord CDN and API Abuses Drive Wave of Malware Detections | Threatpost

最後に

先週の記事で少しだけ触れたPegasus Spywareに関する解析記事を見つけた。

「人間が作ったソフトウェアには必ず欠陥があって、どれだけ気をつけても完全に防御するのは難しいんだな。。。」というのを改めて痛感する。