攻撃させて検知する — パッケージ導入前にサプライチェーン攻撃を見抜くOSS「小姑 (kojuto)」を作った

> Source: Zenn_Python

攻撃手法の巧妙化により、CI環境や特定OS、特定の経過時間経過後にのみ発火するサプライチェーン攻撃が急増している。従来の静的解析中心のツールでは、コードの見た目では判断できない高度な攻撃を検知できないことが課題である。

サンドボックス内でパッケージを実行し、syscallを監視する動的解析手法を採用。ハニーポット用の認証情報、CI環境の偽装、時刻の操作、複数OSの模倣といった「仕掛け」を施すことで、攻撃を能動的に誘発し検知精度を高める。

検証の結果、既知の悪性サンプルに対して真陽性率100%、偽陽性率0%を達成した。DockerやGitHub Actionsとの連携が可能であり、開発パイプラインに組み込むことで、侵害されたパッケージの導入を未然に防ぐことが期待できる。

> 静的解析の限界を認め、攻撃を「誘発」させる動的アプローチは極めて合理的だ。gVisorによる隔離や時刻偽装など、検知回避策への対策も実戦的であり、開発用EDRとしての有用性が高い。