Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Identifying and Analyzing Fake OSS with Malware...

rhykw
March 13, 2025
Programming
0
420

Identifying and Analyzing Fake OSS with Malware - fukuoka.go#21

この発表では、近年増加しているオープンソースソフトウェア(OSS)におけるマルウェア混入問題を取り上げ、その現状と対策について解説します。

具体的には、OSSのマルウェア混入事例を紹介し、実際のコードを例に、マルウェアの特徴や検出方法について説明します。

rhykw

March 13, 2025
Tweet

More Decks by rhykw

See All by rhykw
Messaging Reliability Engineering with Go
rhykw
0
28
Email hosting service with golang.
rhykw
0
300

Other Decks in Programming

See All in Programming
Cloudflare Pagesのサイトを NotebookLMから読みやすくする Cloudflare Meet-up Tokyo Vol.7
xiombatsg
0
110
AIエージェントを活用したアプリ開発手法の模索
kumamotone
1
700
爆速スッキリ! Rspack 移行の成果と道のり - Muddy Web #11
dora1998
0
130
PHPUnit 高速化テクニック / PHPUnit Speedup Techniques
pinkumohikan
1
660
バックエンドNode.js × フロントエンドDeno で開発して得られた知見
ayame113
4
1.2k
ベクトル検索システムの気持ち
monochromegane
13
3.9k
PHPのガベージコレクションを深掘りしよう
rinchoku
0
220
RCPと宣言型ポリシーについてのお話し
kokitamura
2
130
Devinのメモリ活用の学びを自社サービスにどう組み込むか?
itarutomy
0
510
新卒から4年間、20年もののWebサービスと 向き合って学んだソフトウェア考古学
oguri
7
6.2k
令和トラベルにおけるコンテンツ生成AIアプリケーション開発の実践
ippo012
1
240
DenoでOpenTelemetryに入門する
yotahada3
2
270

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Agile that works and the tools we love
rasmusluckow
328
21k
Become a Pro
speakerdeck
PRO
26
5.2k
Being A Developer After 40
akosma
89
590k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
RailsConf 2023
tenderlove
29
1k
The Pragmatic Product Professional
lauravandoore
33
6.5k
How to Think Like a Performance Engineer
csswizardry
22
1.4k
Code Reviewing Like a Champion
maltzj
521
39k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
34
2.9k
VelocityConf: Rendering Performance Case Studies
addyosmani
328
24k
Intergalactic Javascript Robots from Outer Space
tanoku
270
27k

Transcript

  1. セキュリティっぽい話 ここ半年くらいで参加したイベントの話と、 セキュリティっぽい話をします Fukuoka.go#21 rhykw

  2. ここ半年くらいで参加したイベント - 2024/10 Hardening 2024 Convolutions - 堅牢化競技会(参加) - 2024/11

    JPAAWG 7th General Meeting - 標的型攻撃メール訓練の話(発表) - 2025/01 Gopher's Gathering - 内製WAFの話(発表) - 2025/01 JANOG55 Meeting @Kyoto - メールのお困りごとの話(BoF) - 警察と通信事業者の協力のホンネ #2(発表)

  3. ここ半年くらいで参加したイベント - セキュリティやabuse、電子メールに関するイベント多め - 会社の人やgoコミュニティの人と会うことが少ない - 怖くないのでぜひ皆様もご参加ください

  4. 本題。 セキュリティの話。

  5. マルウェア入り偽物 OSSの話、 聞いたことありますよね?

  6. sfujiwaraさんのblog記事で 知った人も多いかと思います

  7. ぐぐってスター数見て ヨシ。 では危ない。 じゃ、どうすれば泣かずに済むか。

  8. まず危ないコードを探してこないと実証で きないんでは? 探そう。

  9. (注意)リポジトリの作成時期とスター 数から探しましたがこの条件が必ず 当てはまるとは限りません

  10. とりあえずソースを見てみる 同じようなコードを meagerbrake/ps の cmd/ps/ps.go に発見。  (なお、 このリポジトリは既に停止済み)

  11. 試しにgosecを掛けてみよう インストール

  12. 子プロセスの起動に変数を使ったことで 検出された (悪いとは限らない )

  13. コードが何をしてるのか Geminiに訊いた (いろいろ説明してくれたけど省略) 結論: このコードは、文字列配列から特定の文字列を組み立て、シェルコマンドとして 実行するものです。コードの可読性とセキュリティ上のリスクが高いため、改善 が必要です。

  14. マルウェアやで、とは 言ってくれないんだな

  15. 訊き方を変えました 不審な点ない?とちゃんと訊きましょう。誘導尋問した感は否めませんが以下 の解答を得ました。 セキュリティの観点から、このコードは非常に危険です。なぜなら、信頼できな いソースからスクリプトをダウンロードして実行しているからです。このスクリプ トが悪意のあるコードを含んでいる場合、システムが侵害される可能性があり ます。

  16. うまく検知出来ないか Geminiに頼んだ このコードはgolangで書かれたアプリケーションから抜き出した実際のコード です。 oPgVRQnx には常にnilしか渡らないことから、BPmKwSiw関数内の exec.Commandを実行させることが目的だと思われます。 また、 exec.Commandに渡す文字列を難読化していることが分かります。 astを

    使ってこれらの特徴をスコアリングするコードを書いてください。

  17. 与えられたGo言語コードの特性を AST(Abstract Syntax Tree:抽象構文木)を使ってスコアリングする コードを作成します。具体的には、以下の特徴をスコアリングします。 - 難読化された文字列の利用 : 文字列配列から文字列を組み立てているかどうか。配列のインデッ クスが規則的でないかどうか。

    - exec.Command の利用: exec.Command 関数が使用されているかどうか。 - 初期化時の実行: init関数内で実行されているか否か。グローバル変数宣言時に実行されている か否か。 - nilが常に返されているか。 : 関数内でnilが常にreturnされているか

  18. 出来たコードがこちら https://go.dev/play/p/5gRAEBanq2a

  19. まとめ - 既存のコードをコピーして悪性のコードを混入しているリポジトリが大量に ある - 今のところ特徴があるので簡単なコードでチェック出来る - もっと良い方法があれば教えて