Last Updated on 2024-07-04 08:33 by admin

サイバーセキュリティ研究者たちは、Python Package Index（PyPI）リポジトリ上で、DLLサイドローディングという技術を利用してセキュリティソフトウェアの検出を回避し、悪意のあるコードを実行する2つの悪意のあるパッケージを発見した。これらのパッケージは「NP6HelperHttptest」と「NP6HelperHttper」と名付けられ、それぞれ537回と166回ダウンロードされた後に削除された。

NP6は、ChapsVisionによって作られた正当なマーケティングオートメーションソリューションを指す名前であり、偽のパッケージは、ChapsVisionの従業員によってPyPIに公開されたヘルパーツール「NP6HelperHttp」と「NP6HelperConfig」のタイポスクワットである。つまり、開発者がNP6HelperHttpとNP6HelperConfigをダウンロードしようとする際に、その偽物をダウンロードさせることが目的である。

これらのライブラリには、北京に拠点を置くKingsoft Corporationの実行可能ファイル（「ComServer.exe」）と、サイドロードされる悪意のあるDLL（「dgdeskband64.dll」）をダウンロードするためのsetup.pyスクリプトが含まれている。DLLサイドローディングの目的は、悪意のあるコードの検出を避けることであり、これは以前「aabquerys」というnpmパッケージが同様の技術を利用してリモートアクセストロイの木馬を展開するコードを実行した事例で観察された。

DLLは、攻撃者が制御するドメイン（「us.archive-ubuntu[.]top」）に接続し、実際にはCobalt Strike BeaconのシェルコードであるGIFファイルを取得する。パッケージは、DLLサイドローディングに対して脆弱な類似の実行可能ファイルの配布を含むより広範なキャンペーンの一部であると示唆されている。

開発組織は、サプライチェーンのセキュリティとオープンソースパッケージリポジトリに関連する脅威を認識する必要がある。オープンソースパッケージリポジトリを使用していない場合でも、脅威アクターがそれらを悪用して企業やそのソフトウェア製品、ツールを偽装する可能性がある。

【ニュース解説】

サイバーセキュリティの研究者たちは、Pythonのパッケージ管理システムであるPython Package Index（PyPI）上で、DLLサイドローディングという技術を駆使してセキュリティソフトウェアの検出を回避し、悪意あるコードを実行する2つのパッケージを発見しました。これらのパッケージは、それぞれ537回と166回ダウンロードされた後に削除されました。

DLLサイドローディングは、正当なアプリケーションに悪意あるDLLファイルを紛れ込ませ、そのアプリケーションが正当なDLLと誤認して悪意あるDLLを実行する手法です。この手法は、セキュリティソフトウェアによる検出を回避するために用いられます。

今回発見された悪意あるパッケージは、正当なマーケティングオートメーションソリューション「NP6」の名前を利用したもので、開発者が誤ってダウンロードすることを狙っています。これらのパッケージには、悪意あるコードをダウンロードし実行するスクリプトが含まれており、最終的には攻撃者が制御するサーバーから追加の悪意あるコードをダウンロードするように設計されています。

このような攻撃は、ソフトウェアのサプライチェーンに対する脅威の一例であり、開発組織はこのような脅威に対して警戒する必要があります。オープンソースのパッケージリポジトリは、多くの開発者にとって重要なリソースですが、このように悪用される可能性もあるため、使用する際には十分な注意が必要です。

この事件は、開発者や組織が使用するソフトウェアの信頼性と安全性を確保するために、ソースの確認やセキュリティ対策の強化がいかに重要かを示しています。また、サイバーセキュリティの専門家や研究者が常に新たな脅威を監視し、発見した情報を共有することで、より広範なコミュニティがこれらの脅威から守られることにも繋がります。

from New Malicious PyPI Packages Caught Using Covert Side-Loading Tactics.

admin

See Full Bio