開発者用のマシンには以下のような情報が存在します:
- 各種APIのトークン
- クラウド用アカウントのパスワード
- SSH用の鍵
- 証明書の秘密鍵
犯罪を企む人々にとって、これらは喉から手が出るほど欲しいものです。 そのため彼らは様々な方法で「開発者」を狙い撃ちしています。
最近とくに流行っているのが、悪意あるツールやプラグインを広めて 開発者にそれらインストールさせる方法です。
- よく似た名前のパッケージ名で騙す: "prettier"(本物) と "prettiest"(偽物)
- パッケージ名のtypoを狙う: "tensorflow"(本物) と "tensorfolw"(偽物)
- 高いバージョン番号で最新版だと思わせる: "nodejs-encrypt-agent v6.0.2"
- 見た目のいいアイコンやテーマで騙す: "Theme Darcula dark"
- 開発中止になった有名パッケージ名を横取り (フランケンシュタイン パッケージ)
最近のニュースから:
- パスワードを盗む VSCode機能拡張 (2023/5)
- npmパッケージでまたも悪意あるコードが発見される (2023/5)
- Discordからユーザの支払い情報を抜き取るnpmパッケージ (2022/7)
- npmパッケージのサプライチェーン攻撃、数百のサイトに影響 (2022/7)
- Azure開発者を標的にしたnpmパッケージ、200件見つかる (2022/3)
- 悪意あるnpmパッケージの「弾幕」がリポジトリを直撃 (2021/12)
- 悪意あるPyPIパッケージが3万回ダウンロードされる (2021/7)
開発用のマシンにインストールするソフトウェアには細心の注意が必要です:
- 余計なアプリ、ツール、プラグイン等は極力入れない。必要のないものは削除する。
(沢山のツールを入れたからといって「できる開発者」にはなりません) - インストールする際には、必ずプロジェクトの発行元、公式ページ等をチェックする。
- 実際のダウンロード数、評価数をチェックする。使用人数が少ないものは、あやしい。
- それでも疑わしい場合は、ソースコードを読む。