2025年6月10日頃、Pythonパッケージインデックス(PyPI)に「chimera-sandbox-extensions」という悪意あるパッケージがユーザー名「chimerai」によってアップロードされた。
JFrog Security Researchチームが発見し、143回ダウンロードされていることが判明した。
このパッケージは、Grab社が提供する機械学習実験プラットフォーム「Chimera Sandbox」のユーザーを標的とし、Jamfレシート、CI/CD環境変数、AWSトークン、Podサンドボックス環境の認証情報やgit設定ファイル、Zscalerホスト設定、公開IPアドレス、プラットフォーム・ユーザー・ホスト情報などの機密情報を窃取する。攻撃手法はドメイン生成アルゴリズム(DGA)を用いて動的に生成された10個のドメインのうち1つだけがアクティブとなるC2サーバーと通信し、第二段階のPythonペイロードをダウンロードして情報を窃取する。Chimera SandboxはGrab社が提供するサービスである。なお、一部報道では、このパッケージがGrab社による「レッドチーム演習の一環」である可能性が示唆されているが、公式な確認は取れておらず、詳細は調査中である。
From:
Malicious Chimera Turns Larcenous on Python Package Index
【編集部解説】
今回の事案は、オープンソースエコシステムにおける新たな脅威の在り方を浮き彫りにしています。
サプライチェーン攻撃は、単なるパッケージ名の偽装から、特定の開発ツールやプラットフォームの拡張機能を装う高度な手法へと進化しています。今回の「chimera-sandbox-extensions」は、機械学習開発者を狙い、信頼性の高いツールとの連携機能を偽装することで、開発者の善意を悪用しています。
技術的な特徴としては、Domain Generation Algorithm(DGA)の活用が挙げられます。この手法により、攻撃者はC2サーバーとの通信を動的に切り替え、検知やブロックを困難にしています。また、多段階ペイロードの導入により、情報窃取だけでなく、さらなる攻撃の準備も可能となっています。
公開リポジトリを演習場として利用することは、第三者への影響リスクが大きく、今後はより厳格なガイドラインが必要となるでしょう。
産業界への影響としては、MLOpsやAI開発分野におけるサプライチェーン管理の重要性が再認識されています。今回の攻撃は、開発環境の分離や依存関係管理、CI/CDパイプラインの監視強化といった対策が急務であることを示しています。
開発者コミュニティへの影響も大きく、信頼できるパッケージの選定やインストール時の確認、環境変数の管理など、日常的なセキュリティ意識の向上が求められています。今回の事案は、オープンソースの利便性とリスクのバランスを考えるきっかけとなるでしょう。
【用語解説】
PyPI(Python Package Index)
Pythonのオープンソースパッケージを公開・配布する公式リポジトリ。
Domain Generation Algorithm(DGA)
マルウェアがコマンド&コントロールサーバーと通信するためのドメイン名を自動生成するアルゴリズム。
Jamfレシート
Jamf ProなどのmacOS管理ソリューションで、アプリケーションのインストールや設定管理に用いられる署名付きファイル。
CI/CD環境変数
Continuous Integration/Continuous Delivery(CI/CD)パイプラインで利用される設定値。ビルドやデプロイ時に重要な情報を保持。
AWSトークン
Amazon Web Services(AWS)の認証情報。クラウドリソースへのアクセス権限を持つ。
Podサンドボックス環境
主にKubernetes上でアプリケーションを分離して実行するための環境。
多段階ペイロード
マルウェアが複数段階に分けて動作し、最初に軽量なコードを配布し、後から本格的な機能を追加する。
情報窃取ツール
認証情報や設定ファイルなど、機密情報を盗み出すためのマルウェア。
サプライチェーン攻撃
ソフトウェアの開発・配布プロセスに侵入し、正規パッケージに悪意あるコードを混入させる攻撃手法。
【参考リンク】
Grab(グラブ)(外部)
東南アジア最大級のスーパーアプリ。配車・デリバリー・金融サービスを提供
Chimera Sandbox(外部)
Grab社が提供する機械学習・AI開発のためのノートブックサービス
Jamf(外部)
macOSやモバイル端末の管理・セキュリティを提供する企業
【参考記事】
Malicious chimera-sandbox-extensions Code Threatens PyPi Users(外部)
JFrogによる「chimera-sandbox-extensions」の詳細分析と脅威評価
PyPI repositories targeted by malicious ‘Chimera-Sandbox Extensions’(外部)
PyPIを狙った「Chimera-Sandbox Extensions」の脅威と産業への影響
Malicious Python Package Quietly Targeted Cloud DevOps(外部)
多段階情報窃取マルウェアの詳細分析と対策推奨
【編集部後記】
特定の開発ツールや拡張機能の偽装となると、深く考えず入れてしまいそうで怖いです。
信頼性の高いツールとの連携機能の偽装も恐ろしいですし、今まで以上にインストール時の確認、環境変数の管理など、しっかりやらなければいけませんね….。
