偽のNuGetパッケージ「StripeApi.Net」がStripeライブラリを装いAPIトークンを窃取
サイバーセキュリティ研究者が、金融サービスプロバイダーStripeの公式ライブラリ「Stripe.net」を装う悪意あるNuGetパッケージ「StripeApi.Net」を発見。APIトークンを標的とした攻撃の手口と対策を解説。
金融セクターを狙う悪意あるNuGetパッケージ:APIトークン窃取の脅威
サイバーセキュリティ研究者は、NuGet Gallery上で、Stripe.net(金融サービスプロバイダーStripeが提供する公式ライブラリ)を偽装した悪意あるパッケージを発見しました。この偽パッケージは**「StripeApi.Net」と名付けられ、正規の開発者を装った攻撃者によってアップロードされ、金融セクターのユーザーからAPIトークン**を窃取することを目的としています。
技術的詳細
悪意あるパッケージ**「StripeApi.Net」は、Stripeの正規.NETライブラリであるStripe.net**(累計ダウンロード数7,500万回以上)を装っていました。正規ライブラリはStripeの決済処理APIとの安全な統合を提供しますが、偽バージョンにはAPIトークンなどの機密情報を外部サーバーに送信する隠し機能が組み込まれています。このサーバーは脅威アクターによって制御されています。
主な侵害の兆候(Indicators of Compromise:IoC)は以下の通りです:
- パッケージ名:
StripeApi.Net(公式のStripe.netとは微妙に異なる) - アップローダー:過去の活動履歴がない新規NuGetアカウント
- 挙動:組み込まれた悪意あるコードによる静的な認証情報の窃取
本件の公表時点で、このパッケージはまだ大きな広がりを見せていませんでしたが、金融セクターの開発者を標的としていることから、侵害されたAPIトークンの高い価値を考慮すると、重大な懸念が生じます。
影響分析
APIトークンは、金融システム、決済ゲートウェイ、および機密性の高い顧客データへのアクセスを許可する重要な認証情報です。StripeApi.Netが成功裏に展開された場合、脅威アクターは以下の行為が可能となります:
- 金融取引へのアクセスおよび決済処理の操作
- 顧客データの窃取:個人を特定できる情報(PII)や決済情報など
- 侵害環境内での攻撃の拡大:窃取した認証情報を悪用したさらなる攻撃
金融セクターは依然としてサプライチェーン攻撃の主要な標的であり、この事例はパッケージリポジトリにおける**依存関係の混乱(Dependency Confusion)やタイポスクワッティング(Typosquatting)**のリスクを浮き彫りにしています。
セキュリティチーム向け推奨事項
悪意あるNuGetパッケージに関連するリスクを軽減するために、以下の対策を講じてください:
- パッケージの信頼性を検証:インストール前に、パッケージ名、公開者、ダウンロード数を必ず確認。
- パッケージ署名を使用:デジタル署名付きパッケージを使用し、完全性を確保。
- 依存関係を監視:**ソフトウェアコンポジション分析(SCA)**ツールを導入し、不審または未承認のパッケージを検出。
- NuGetソースを制限:開発環境を設定し、信頼できるリポジトリからのみパッケージを許可。
- 開発者への教育:タイポスクワッティング攻撃の手口とパッケージソースの検証の重要性について啓発。
セキュリティチームは、環境内でStripeApi.Netの存在をスキャンし、露出したAPIトークンを直ちに無効化することを推奨します。NuGet Galleryは既にこの悪意あるパッケージを削除していますが、同様の攻撃を防ぐためには警戒を怠らないことが重要です。
出典:The Hacker News