✅ レポートタイトル：「XZ Utils」バックドアを標的としたサプライチェーン攻撃に関する分析レポート

S2W脅威インテリジェンスセンター「Talon」は、UnixシリーズとWindowsオペレーティングシステムで使用されているオープンソース圧縮ユーティリティ「XZ Utils」バックドアを標的としたサプライチェーン攻撃を分析したレポートを発行しました。

✅ レポート内容：

- 2024年3月29日、UnixシリーズとWindowsオペレーティングシステムで使用されるオープンソース圧縮ユーティリティである「XZ Utils」を対象としたサプライチェーン攻撃が発生し、各Linuxディストリビューションのようなダウンストリームではなく、「XZ Utils」アップストリームの5.6.0～5.6.1バージョンにバックドアが含まれている。

- マルウェアが含まれたバージョンをリリースしたユーザー「JiaT75」は、2022年2月からXZリポジトリに貢献し、培った信頼関係からメンテナンス権限を獲得し、2年間の間に着実にアップデートを行った。

- 以降、ユーザー「JiaT75」は、XZリポジトリにバックドアが仕込まれたtarballを2024年2月24日にリリースし、ライブラリの形で配布され、liblzmaを必要とする実行ファイルにマルウェアがプロセスに搭載される。

- マルウェアは、「RSA_public_decrypt」のGOTをフックして、sshdで受信された署名を中間で検証した後、任意のコマンドを実行する悪意ある行為を実行する。

- ユーザー「JiaT75」のアカウントが窃取されて攻撃に悪用された可能性も考えられるが、今回のようなバックドア挿入のために長い間注力した可能性が高い。

- 今回の攻撃は重要な大規模インフラプロジェクトが少数の貢献者によって維持されるオープンソースプロジェクトに依存することで発生した事件かつ現オープンソースエコシステムの問題点として取り上げられており、貢献者に対する報酬やレビュワーの確保など対策の確立に関する議論を促すものである。

🧑‍💻 レポート作成者: チェ・ミンヨプ、チェ・ホス、リュ・ソジュン | S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。