ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

警告:PyPIで発見された新マルウェア「pytoileur」が暗号通貨盗難を助長

警告:PyPIで発見された新マルウェア「pytoileur」が暗号通貨盗難を助長 - innovaTopia - (イノベトピア)

Last Updated on 2024-05-30 07:53 by TaTsu

サイバーセキュリティ研究者たちは、Python Package Index (PyPI) リポジトリ内で発見された新たな悪意のあるPythonパッケージ「pytoileur」が、暗号通貨の盗難を容易にするために使用されていると警告している。このパッケージは、記事執筆時点で316回ダウンロードされている。パッケージの作者であるPhilipsPYは、PyPIの管理者によって前のバージョン(1.0.1)が削除された後の2024年5月28日に、同じ機能を持つ新バージョン(1.0.2)をアップロードした。

Sonatypeによる分析によると、このパッケージのsetup.pyスクリプトに埋め込まれた悪意のあるコードは、外部サーバーからWindowsバイナリ「Runtime.exe」を取得するためのBase64エンコードされたペイロードを実行する。インストールされると、このバイナリは永続性を確立し、ウェブブラウザーや暗号通貨サービスからデータを収集するスパイウェアやスティーラーマルウェアなどの追加ペイロードをドロップする。

さらに、SonatypeはStackOverflow上で新しく作成されたアカウント「EstAYA G」が、ユーザーの質問に対して悪意のあるpytoileurパッケージのインストールを提案する回答をしていることを特定した。これらのアカウントの最近の活動と、悪意のあるPythonパッケージを公開・促進するためだけに使用されていることから、これらが同じ脅威アクターによるものである可能性が高い。

この事態は、信頼できるプラットフォームがマルウェアの伝播ベクトルとして悪用されるという新たなエスカレーションを示している。特にStackOverflowは、まだ学習中で質問をしている初心者開発者が多く、悪意のあるアドバイスに騙されやすいことから、その妥協は特に懸念される。

パッケージのメタデータとその著者履歴の詳細な調査により、2023年11月にCheckmarxによって公開されたPystobやPywoolなどの偽のPythonパッケージを含む以前のキャンペーンとの重複が明らかにされた。この発見は、オープンソースのエコシステムがBladeroidやその他のマルウェアを含む情報窃盗ツールを使って複数のターゲットを一度に妥協させることを目指す脅威アクターにとって引き続き魅力的である理由の一例である。

【編集者追記】用語解説

  • PyPI (Python Package Index) : Pythonプログラミング言語用のサードパーティソフトウェアリポジトリ。Pythonパッケージを公開・インストールできる。

【参考リンク】
PyPI (Python Package Index)(Pythonプログラミング言語用のサードパーティソフトウェアリポジトリ:外部)

【関連記事】

PyPIが悪意あるパッケージ流入で新規登録停止、開発者を狙うサイバー攻撃が激化

PyPIに関する記事をinnovaTopiaでもっと読む

【ニュース解説】

サイバーセキュリティの研究者たちは、Pythonの公式パッケージリポジトリであるPython Package Index(PyPI)内で、暗号通貨の盗難を目的とした新たな悪意のあるPythonパッケージ「pytoileur」が発見されたと警告しています。このパッケージは、記事執筆時点で316回ダウンロードされており、その作者はPyPIによって以前のバージョンが削除された後も、同じ機能を持つ新バージョンをアップロードするなど、積極的な行動を取っています。

このパッケージに含まれる悪意のあるコードは、外部サーバーからWindows用の実行ファイルをダウンロードし、それを実行することで、コンピューターに永続的に留まり、ウェブブラウザーや暗号通貨サービスから情報を盗み出す追加のマルウェアをインストールします。さらに、このキャンペーンは、StackOverflowという信頼できるプラットフォームを利用して、悪意のあるパッケージのインストールを促すことで、その影響範囲を広げています。

このような攻撃手法は、供給チェーン攻撃と呼ばれ、開発者が使用するオープンソースのライブラリやパッケージを標的とすることで、一度に多くのシステムやアプリケーションに影響を与えることができます。この攻撃は、特に初心者や学習中の開発者が多く利用するStackOverflowのようなプラットフォームを悪用することで、その危険性をさらに高めています。

この事例から、開発者はパッケージを利用する際に、その出所や安全性を慎重に評価する必要があることがわかります。また、プラットフォーム側も、悪意のあるコンテンツやアカウントを特定し、迅速に対処するためのシステムを強化することが求められます。

ポジティブな側面としては、このような攻撃の発見と公表により、オープンソースのエコシステムのセキュリティ意識が高まり、より安全な開発環境の構築に向けた取り組みが加速する可能性があります。一方で、潜在的なリスクとしては、このような攻撃が今後も進化し続け、より巧妙で検出が困難な形で発生する可能性があります。これに対抗するためには、開発者、プラットフォーム運営者、セキュリティ研究者が連携し、情報共有と対策の強化を図ることが重要です。

規制に与える影響としては、このような事件が増加することで、オープンソースのパッケージ管理システムに対するより厳格な監視や規制の導入が検討される可能性があります。将来的には、開発者が安全なパッケージを選択しやすくするためのガイドラインや、悪意のあるパッケージを効率的に検出・排除するための技術的な進歩が期待されます。

from Cybercriminals Abuse StackOverflow to Promote Malicious Python Package.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…