求)既存プログラムが乗っ取られマルウェア化する事への対策
タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
情報元へのリンク
PythonとPHPのパッケージ乗っ取りが有りました。
同一犯の可能性が高いようです。
詳細は情報元URL等を参考に。
タレコミ子が改めて思うのは、ライブラリを使うのは良いのですが、攻撃の入り口もライブラリを使った分だけ増えるわけでして。
ライブラリやブラウザ拡張等様々なプログラムの信頼性確保に関して改めて考えさせられます。
今回の乗っ取り騒ぎはドメイン失効がトリガーでしたが、パッケージ/ライブラリ管理システムにもドメイン失効や管理者が交代したら自動で信頼関係をリセットするような仕組み作りが必要な時代なのかもしれません。
しかし、最初から悪意ある開発者には役立ちませんし、何か有効な対策って有りますかね?
毎年のようにある過去の乗っ取り関連(不完全です)
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入
https://opensource.srad.jp/story/18/11/29/0637229/
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される
https://security.srad.jp/story/19/08/25/0620202/
Chrome拡張機能のNano Defenderがマルウェア化
https://security.srad.jp/story/20/10/18/0616254/
Google、マルウェア化したChrome拡張機能をリモートから無効化
https://security.srad.jp/story/21/02/06/0557255/
情報元へのリンク
求)既存プログラムが乗っ取られマルウェア化する事への対策 More ログイン