NuGet リポジトリの概要

NuGet リポジトリの概要

ソフトウェアサプライチェーンセキュリティ企業の ReversingLabs は、NuGet パッケージマネージャーに公開された数百のパッケージに影響を与えるマルウェアキャンペーンを報告しました。このキャンペーンでは、マルウェアの作成者が CData を含む人気ベンダーになりすまし、マルウェアをインストールするソフトウェアパッケージを公開しようとしていました。

CData セキュリティチームはこの問題を最優先事項として調査し、CData Software の公式ソフトウェアパッケージが侵害されていないことを確認しました。

タイポスクワッティング攻撃は、オンラインパッケージマネージャー全体で増加しています。今回のケースでは、マルウェアの作成者が CData から提供されたかのように見えるパッケージ名でパッケージを公開していました：

• CData.NetSuite.Net.Framework
• CData.Salesforce.Net.Framework
• CData.Snowflake.API
• CData.Snowflake.EntityFramework.Net

CData はこれらのパッケージを公開したことはなく、CData の NuGet アカウントとは一切関係がありません。すべての CData NuGet パッケージは、以下の2つの命名規則を使用しています：

• CData.DataSource
• CData.DataSource.EntityFrameworkCore

さらに、CData NuGet パッケージは公式 NuGet アカウント CDataSoftware: https://www.nuget.org/profiles/CDataSoftware からのみ公開されています。

影響を受けている可能性がある場合は、Visual Studio を開いてインストール済みの CData パッケージを確認してください。正規のパッケージは上記の命名規則に従い、パッケージの作成者として「CData Software, Inc.」と表示されます。例：

CData はセキュリティの重要性を理解しており、世界中のお客様に対して最先端のセキュリティ技術を用いて製品とサービスを管理することをお約束します。今後数週間のうちに、CData は NuGet に登録するコードへの署名を進めていきます。これは CData Web サイトから直接提供するすべてのソフトウェアインストーラーと同様の対応です。コード署名により、エンドユーザーは受け取ったコードが第三者によって改ざんまたは侵害されていないことを確認できる追加のセキュリティ層が提供されます。