今週気になったIT関連のニュース

Jul 28, 2021 23:30 · 1591 words · 4 minute read 今週のニュース

2021年7月19日~2021年7月25日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

NPMで悪意あるパッケージが公開されていた

What

  • NPMで公開されているパッケージに悪意のある機能が見つかった。
  • Chromeに保存されたパスワードを盗んだり、TeamViewerのリモートアクセスツールをダウンロードした。
  • jstestというJavaScriptのテストツールをハイジャックして、ファイルのアップロードや任意コードの実行、画面やカメラ記録などの機能を提供していた。
  • 使用するライブラリのチェックを細かくしている開発者はとても少ない気がする。

When

  • 2021年7月2日、2021年7月15日 NPMのセキュリティチームに2回報告
  • 2021年7月21日以降? 問題のパッケージが削除された

関連記事

NSO GroupのPegasus Spyware解析レポート

What

  • 昨今話題のPegasus Spywareのフォレンジック報告資料
  • 2014年から2021年まで、ざっくりとどのようなスパイ活動をしてきたのかの雰囲気を掴むことができる。
  • 具体的な実行プロセスなども記載されている。
  • 調査のためのツールもGithubで公開されている。
  • 調査ツールの機能
    • Decrypt encrypted iOS backups.
    • Process and parse records from numerous iOS system and apps databases and system logs.
    • Extract installed applications from Android devices.
    • Extract diagnostic information from Android devices through the adb protocol.
    • Compare extracted records to a provided list of malicious indicators in STIX2 format. Automatically identify malicious SMS messages, visited websites, malicious processes, and more.
    • Generate JSON logs of extracted records, and separate JSON logs of all detected malicious traces.
    • Generate a unified chronological timeline of extracted records, along with a timeline all detected malicious traces.
  • ツールはPythonで書かれている。スマホアプリの調査が必要になったときに参考になるかもしれない。

関連記事

主要なパスワードマネージャーの仕様とautofillの危険性について

What

  • 記事内では非常に細く検証をしているので、かなり抜粋したメモ書き。
  • 各ブラウザに含まれるパスワードマネージャー機能と、パスワードマネージャーとして公開サれているアプリケーションの仕様について検証している。
  • ログイン画面表示時に利用者が何もせずともフォームに情報を入力する機能が無いほうがセキュリティ的には好ましい。
  • ChromeやChromeベースのブラウザはユーザから何かしらの反応が無いとパスワードを入力しないという機能があるらしい。
  • パスワードマネージャーに保存された情報をXSSで取得するデモが含まれている。
  • お勧めなのは、Webサイトを表示した時に自動入力される機能がない(もしくはOFFにできる)パスワードマネージャ。
    • パスワードマネージャのUIをユーザがクリックすることで情報が入力される形式が良い。

関連記事

Discordがマルウェアの配布に利用されている

What

  • Doscordのシステム環境が攻撃者に利用されている。
  • CDNはマルウェアのホストに利用され、APIはデータの盗難やC2用途で利用されている。
  • 2021年4月にはDicsordのCDNに9,500の悪意あるURLが存在した。数カ月後には17,000に急増していた。
  • Discordのチャット機能はフィッシングメッセージやマルウェアリンクの配信に利用される。

関連記事

最後に

先週の記事で少しだけ触れたPegasus Spywareに関する解析記事を見つけた。

「人間が作ったソフトウェアには必ず欠陥があって、どれだけ気をつけても完全に防御するのは難しいんだな。。。」というのを改めて痛感する。

tweet Share