長期間潜伏した不正NuGetパッケージ、ウォレット情報を外部送信する恐れ

海外のセキュリティ研究者により、.NET開発者向けのパッケージ管理サービス「NuGet」で配布されていた不正なライブラリが確認されたと報告されています。このパッケージは、人気のある正規ライブラリ「Tracer.Fody」に酷似した名称を用い、開発者に気付かれない形で仮想通貨ウォレットの情報を外部に送信する可能性があるとされています。問題のパッケージは2020年2月26日に公開され、長期間にわたり公開状態が続いていた点も指摘されています。

The Hacker News： Rogue NuGet Package Poses as Tracer.Fody, Steals Cryptocurrency Wallet Data

この記事のポイント

影響のあるシステム

NuGet パッケージ管理システム
.NET 開発環境
Windows OS
Stratis 仮想通貨ウォレット
Tracer.Fody を利用するプロジェクト

推奨される対策

利用しているNuGetパッケージの名称・公開者を再確認する
正規リポジトリや公式GitHubから配布元を確認する
不要なパッケージ参照を削除し、依存関係を定期的に棚卸しする
開発環境でもウイルス対策・挙動監視を有効化する
暗号資産ウォレットを開発端末に保存しない運用を検討する

この記事に出てくる専門用語

NuGet：.NET向けのライブラリやツールを配布・管理するための公式パッケージ管理サービスです。
タイポスクワッティング：正規サービスや製品名に似た名称を使い、利用者の誤認を誘う攻撃手法です。
サプライチェーン攻撃：開発や配布の過程に介入し、正規ソフトウェア経由で不正コードを拡散させる攻撃です。
Stratisウォレット：Stratisブロックチェーン向けの暗号資産ウォレットで、ローカル環境にデータが保存されます。

正規ライブラリを装った長期潜伏型の不正パッケージ

今回確認された不正パッケージは「Tracer.Fody.NLog」という名称で、人気の.NET向けトレーシングライブラリ「Tracer.Fody」と非常に似た名前を使用していました。公開者名も正規作者と一文字だけ異なる表記が使われており、開発者がレビュー時に見落とす可能性があったと報告されています。こうした手法は、オープンソース開発における信頼関係を悪用する典型例と考えられます。

ウォレット情報を密かに外部送信する挙動

研究者の分析によると、このパッケージが組み込まれたプロジェクトを実行すると、Windows環境におけるStratisウォレットの既定ディレクトリを探索し、ウォレットファイルやメモリ上のパスワード情報を読み取る可能性があるとされています。これらの情報は、海外に設置された外部サーバーへ送信される仕組みが確認されていますが、処理中にエラーが発生しても利用者には表示されない点が特徴とされています。

巧妙化するオープンソース供給網リスク

同一のインフラが、過去にも別のNuGetなりすまし事案で使用されていたことが指摘されています。このことから、単発の事象ではなく、継続的に.NETエコシステムを狙った供給網攻撃が行われている可能性があるとみられています。特に、ログ出力やユーティリティ系ライブラリは多くのプロジェクトで利用されるため、今後も同様の手口が確認される恐れがあります。

開発者と企業に求められる注意点

本件は、企業システムそのものではなく、開発工程を起点として情報漏えいが発生する可能性を示しています。企業や開発者は、信頼できるパッケージであっても定期的に依存関係を見直し、想定外の挙動がないか確認することが重要です。また、暗号資産を扱う環境では、開発端末と資産管理環境を分離するなどの運用面での対策も検討する必要があると考えられます。

参考文献・記事一覧

投稿者プロフィール

CyberCrew_: CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。