論文の概要: Obfuscating Code Vulnerabilities against Static Analysis in JavaScript Code

• arxiv url: http://arxiv.org/abs/2604.01131v1
• Date: Wed, 01 Apr 2026 16:52:37 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-02 16:44:32.101147
• Title: Obfuscating Code Vulnerabilities against Static Analysis in JavaScript Code
• Title（参考訳）: JavaScriptコードにおける静的解析に対するコードの脆弱性の回避
• Authors: Francesco Pagano, Lorenzo Pisu, Leonardo Regano, Davide Maiorca, Alessio Merlo, Giorgio Giacinto,
• Abstract要約: 本稿では,現状の静的アプリケーションセキュリティテストにおけるJavaScript難読化の影響を実証的に定量化する。 ディレクトリから16の脆弱性のあるNode.js Webアプリケーションを分析し、GitHubから260のJavaScript/Node.jsプロジェクトを分析します。 私たちの結果は、現在のJavaScript SASTは基本的に、一般的な難読化に対して堅牢ではなく、難読化コードの"クリーン"なレポートは、誤ったセキュリティ感覚を提供するだけであることを示している。
• 参考スコア（独自算出の注目度）: 3.7140746756072045
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Code obfuscation is widely adopted in modern software development to protect intellectual property and hinder reverse engineering, but it also provides attackers with a powerful means to conceal malicious logic inside otherwise legitimate JavaScript code. In a software supply chain where a single compromised package can affect thousands of applications, this raises a critical question: how robust are the Static Application Security Testing (SAST) tools that CI/CD pipelines rely on as automated security gatekeepers? This paper answers that question by empirically quantifying the impact of JavaScript obfuscation on state-of-practice SAST. We define a realistic supply-chain threat model in which an adversary injects vulnerable code and iteratively obfuscates it until the pipeline reports a clean scan. To measure the resulting degradation, we introduce the Vulnerability Detection Loss (VDL) metric and conduct a two-phase study. First, we analyze 16 vulnerable-by-design Node.js web applications from the OWASP directory; second, we extend the analysis to 260 in-the-wild JavaScript/Node.js projects from GitHub. Across both datasets, we apply eight semantics-preserving obfuscation techniques and their combinations and evaluate two representative SAST tools, Njsscan and Bearer. Even a single obfuscation technique typically suppresses most baseline findings, including high-severity issues, while stacking techniques yield near-total evasion, with VDL often approaching 100%. Our results show that current JavaScript SAST is fundamentally not robust against commonplace obfuscations and that "clean" reports on obfuscated code may offer only a false sense of security. Finally, we discuss practical mitigation guidelines and directions for obfuscation-aware analysis.
• Abstract（参考訳）: コードの難読化は、知的財産権の保護とリバースエンジニアリングを妨げるため、現代のソフトウェア開発で広く採用されているが、攻撃者には、正当なJavaScriptコード内に悪意のあるロジックを隠蔽する強力な手段を提供する。 CI/CDパイプラインが自動セキュリティゲートキーパーとして依存する静的アプリケーションセキュリティテスト(SAST)ツールは、どの程度堅牢か? 本稿では,JavaScriptの難読化が現状のSASTに与える影響を実証的に定量化することによって,その疑問に答える。 我々は、敵が脆弱なコードを注入し、パイプラインがクリーンスキャンを報告するまで繰り返し難読化する現実的なサプライチェーン脅威モデルを定義する。 得られた劣化を測定するため,VDL(Vulnerability Detection Loss)尺度を導入し,二相解析を行った。 まず、OWASPディレクトリから16の脆弱性のあるNode.js Webアプリケーションを解析し、次に、GitHubから260のJavaScript/Node.jsプロジェクトまで分析を拡張します。 いずれのデータセットにおいても,8つのセマンティックス保存難読化手法とその組み合わせを適用し,Njsscan と Bearer の2つの代表的なSASTツールを評価する。 単一の難読化技術でさえ、高重度問題を含むほとんどのベースラインの発見を抑えるのが一般的であるが、積み重ね技術は概して回避し、VDLは100%に近づいた。 私たちの結果は、現在のJavaScript SASTは基本的に、一般的な難読化に対して堅牢ではなく、難読化コードの"クリーン"なレポートは、誤ったセキュリティ感覚を提供するだけであることを示している。 最後に,難読化対応分析の実践的緩和ガイドラインと方向性について論じる。

関連論文リスト

• Multi-Agent Taint Specification Extraction for Vulnerability Detection [49.27772068704498]
  コンテナ分析を使用した静的アプリケーションセキュリティテスト(SAST)ツールは、高品質な脆弱性検出結果を提供するものとして広く見なされている。 本稿では,Large Language Models (LLM) のセマンティック理解と従来の静的プログラム解析を戦略的に組み合わせたマルチエージェントシステムであるSemTaintを提案する。 私たちは、SemTaintを最先端のSASTツールであるCodeQLと統合し、これまでCodeQLで検出できなかった162の脆弱性の106を検出して、その効果を実証しています。
  論文  参考訳（メタデータ） (2026-01-15T21:31:51Z)
• From Obfuscated to Obvious: A Comprehensive JavaScript Deobfuscation Tool for Security Analysis [6.038443052154118]
  JSIMPLIFIERは、事前処理を備えた多段階パイプラインを使用した包括的な難読化ツールである。 44,421のサンプルを使って、最も大きな現実世界の難読化JavaScriptデータセットを構築し、リリースする。 この結果、JavaScriptの難読化研究と実用的なセキュリティアプリケーションのためのベンチマークを前進させた。
  論文  参考訳（メタデータ） (2025-12-16T04:13:09Z)
• Bag of Tricks for Subverting Reasoning-based Safety Guardrails [62.139297207938036]
  推論に基づくガードレールを覆い隠すジェイルブレイク手法の袋を提示する。 攻撃対象は白、グレー、ブラックボックスの設定で、無駄なテンプレート操作から完全に自動化された最適化までさまざまです。
  論文  参考訳（メタデータ） (2025-10-13T16:16:44Z)
• OBsmith: Testing JavaScript Obfuscator using LLM-powered sketching [11.58496128577643]
  JavaScriptの難読化装置は、知的財産を保護し、リバースエンジニアリングに抵抗するために広くデプロイされている。 既存の評価は難読化に対する抵抗を測り、難読化剤が解答なしのセマンティクスを保存するかどうかという批判的な疑問を残している。 我々は,大規模な言語モデルを用いてJavaScriptの難読化を体系的にテストする新しいフレームワークOBsmithを提案する。
  論文  参考訳（メタデータ） (2025-10-11T07:02:42Z)
• "Digital Camouflage": The LLVM Challenge in LLM-Based Malware Detection [0.0]
  大規模言語モデル(LLM)がマルウェア検出のための有望なツールとして登場した。 しかし、逆コンパイラレベルの難読化の下での信頼性はまだ発見されていない。 本研究は,コンパイラレベルの難読化技術に対する3つの最先端LCMのロバスト性を実証的に評価する。
  論文  参考訳（メタデータ） (2025-09-20T12:47:36Z)
• CASCADE: LLM-Powered JavaScript Deobfuscator at Google [1.7266435334810277]
  ソフトウェアの難読化、特にJavaScriptはコードの理解と分析を妨げる。 本稿では,ジェミニの高度な符号化機能とコンパイラの決定論的変換機能を統合する,新しいハイブリッドアプローチであるCASCADEを紹介する。 CASCADEはすでにGoogleの本番環境にデプロイされており、JavaScriptの難読化効率を大幅に改善している。
  論文  参考訳（メタデータ） (2025-07-23T16:57:32Z)
• Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
  Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。 この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。 バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
  論文  参考訳（メタデータ） (2025-06-24T13:42:59Z)
• ShadowCode: Towards (Automatic) External Prompt Injection Attack against Code LLMs [56.46702494338318]
  本稿では,コード指向の大規模言語モデルに対する(自動)外部プロンプトインジェクションという,新たな攻撃パラダイムを紹介する。 コードシミュレーションに基づいて誘導摂動を自動生成する,シンプルで効果的な方法であるShadowCodeを提案する。 3つの人気のあるプログラミング言語にまたがる31の脅威ケースを発生させるため、13の異なる悪意のある目標に対して本手法を評価した。
  論文  参考訳（メタデータ） (2024-07-12T10:59:32Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• Cryptic Bytes: WebAssembly Obfuscation for Evading Cryptojacking Detection [0.0]
  WebAssemblyのコードの難読化テクニックについて、これまでで最も包括的な評価を行った。 Tigressやwasm-mutateといった最先端の難読化ツールを使って、ユーティリティやゲーム、暗号マイニングなど、さまざまなアプリケーションを難読化しています。 2万以上の難読化されたWebAssemblyバイナリと、さらなる研究を促進するために公開されたEcc-obfツールのデータセットです。
  論文  参考訳（メタデータ） (2024-03-22T13:32:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。