Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] You Can Run But You Can't Hide: Runtime Protection Against Malicious Package Updates For Node.js

Timo Pohl, Marc Ohm|arXiv (Cornell University)|May 31, 2023
Advanced Malware Detection Techniques被引用数 4
ひとこと要約

この論文では、パッケージのソースコードを静的解析して必要な機能(例:モジュールおよび関数へのアクセス)を推定し、パッチが施されたNode.jsインタプリタを介してそれらを強制することで、最小特権ポリシーを実行時に行うランタイム保護メカニズムを提示する。このアプローチは、0.6秒未塔の中央値インストール時間オーバーヘッドと、0.2秒未塔の中央値ランタイムオーバーヘッドで、10件の歴史的サプライチェーン攻撃のうち9件を防止した。

ABSTRACT

Malicious software packages are often used in software supply chain attacks. Detecting these packages is a top priority, and there have been many academic and commercial approaches developed for this purpose. In the event of an attack, it is essential to have resilience against malicious code. To address this issue, we introduce a runtime protection for Node.js that automatically limits the capabilities of packages to a minimum level. The implementation and evaluation of the detection and enforcement of necessary capabilities at runtime was conducted against known malicious attacks. Our approach successfully prevented 90 % of historical attacks with a median install-time overhead of less than 0.6 seconds and a median runtime overhead of less than 0.2 seconds.

研究の動機と目的

  • Node.jsエコシステムにおける悪意あるパッケージ更新による、増加するソフトウェアサプライチェーン攻撃の脅威に対処すること。
  • 悪意あるコードの実行を防ぐために、最小限に必要な機能を自動的にランタイムで強制すること。
  • ソースコードの静的解析に基づいて自動的に生成・強制する機能ポリシーにより、攻撃表面を縮小すること。
  • パフォーマンスオーバーヘッド、検出精度、および既知の悪意ある更新に対する耐性の観点から、このアプローチを評価すること。

提案手法

  • システムは、抽象構文木(AST)を用いて信頼できるパッケージバージョンおよびその依存関係に対して静的解析を実行し、必要なモジュールおよび関数を推定する。
  • 許可リストとしての必要なモジュールおよびメンバーのリストである機能ポリシーを生成し、ポリシーファイルに格納する。
  • パッチが施されたNode.jsインタプリタが、インポートされたモジュールを許可されたメンバーのみに制限することで、実行時にポリシーを強制する。
  • システムは2つのモードをサポートする:モジュールレベルの粗い粒度(coarse-grained)と、メンバーレベルの細かい粒度(fine-grained)のアクセス制御。
  • ポリシー強制は、実行時にrequire関数を変更して許可リストに基づいてアクセスを制限することで実装される。
  • 静的解析を活用することで、プログラムの実際の機能の92%を検出可能であり、エンジニアリングの最適化により誤検出が低減されている。

実験結果

リサーチクエスチョン

  • RQ1ソースコードの自動静的解析は、Node.jsパッケージに必要な最小限の機能セットを信頼性を持って推定できるか?
  • RQ2推定された機能に基づくランタイム強制メカニズムは、既知の悪意あるパッケージ更新をどの程度防止できるか?
  • RQ3インストール時間および実行時間のコストという観点から、ポリシー生成およびランタイム強制のパフォーマンスオーバーヘッドはどの程度か?
  • RQ4不要または悪意ある追加機能をブロックすることで、このアプローチは攻撃表面をどの程度縮小できるか?

主な発見

  • システムは、不正な特権を必要とする悪意あるコードをブロックすることで、10件の既知の歴史的サプライチェーン攻撃のうち9件を防止した。
  • 中央値のインストール時間オーバーヘッドは0.6秒未塔、中央値のランタイムオーバーヘッドは0.2秒未塔であり、パフォーマンスへの影響が小さいことが示された。
  • 粗い粒度モードでは利用可能な機能の78.82%が未使用であり、細かい粒度モードでは96.56%が未使用であり、攻撃表面の顕著な縮小が確認された。
  • ポリシー生成には0.52〜0.60秒を要し、ポリシーファイルは小さく(1.2 kB〜2.98 kB)、起動時間の追加はたったの198 msであった。
  • ASTベースの解析を用いることで、実際のプログラム機能の92%を検出可能であったが、誤検出は依然として課題であり、さらなる最適化が必要である。
  • このシステムは、新しい機能を追加してパッケージの振る舞いを変更する攻撃に対して有効であるが、ESMs、代替インポート方法、C++アドオンがモジュールレベルの制限を回避するため、その制限に直面している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。