偽の暗号通貨販売業者をDNS情報で追跡
WhoisXML APIが、偽の暗号通貨販売業者と関連している可能性のあるアーティファクトを2,700超発見しました。脅威リサーチ資料を今すぐダウンロード。
続きを読む レポートをダウンロードサプライチェーンのセキュリティ:IconBurstとMaterial Tailwindの攻撃に迫る
ReversingLabsは、サプライチェーンのソフトウェアの攻撃が2022年にかつてないほど増加したと指摘するとともに、2023年にはさらに増えると予測しています。1 同社のレポートでは、攻撃の例としてIconBurst2 とMaterial Tailwind3を挙げ、オープンソースリポジトリからパッケージをダウンロードする際に注意するよう、npmとPyPIのユーザーに呼びかけています。
Whois XML APIでこれらの脅威についてさらに深く掘り下げたところ、ReversingLabsの警告を裏付ける形で、さらに数千のアーティファクトが見つかりました。当社の調査結果のポイントは以下の通りです。
- IoCとして特定されたIconBurstのドメイン名が10個を超えるIPアドレスに名前解決した。
- 2,400件を超えるドメイン名がIconBurstのIoCと同じIPアドレスを使用、そのうち14件のドメイン名は悪意あるものと判明。
- IconBurstのIoCとされたドメイン名のうちいくつかについては、過去のWHOISレコードに登録者のメールアドレスが匿名化されずに表示されていた。
- それらの匿名化されていない登録者メールアドレスのうち1つは、他のドメイン名の登録に使われていた。そのうち2件のドメイン名はReversingLabsのレポートでも記載されている。
- Material TailwindのIoCと確認されたIPアドレスのうち1つは、関連している可能性のあるドメイン名を導いた。
- Material TailwindのIoCに含まれる「parsee」という文字列が、10以上の異なるトップレベルドメインの下でドメイン名として登録されている。
リサーチ資料のサンプルはこのページからダウンロード可能です。資料一式をご希望のお客様は、こちらにお問い合わせください。
—
- [1] https://blog.reversinglabs.com/blog/the-state-of-software-supply-chain-security
- [2] https://blog.reversinglabs.com/blog/iconburst-npm-software-supply-chain-attack-grabs-data-from-apps-websites
- [3] https://blog.reversinglabs.com/blog/threat-analysis-malicious-npm-package-mimicks-material-tailwind-css-tool