Last Updated on 2024-03-13 00:29 by admin

脅威ハンターはPython Package Index (PyPI) リポジトリ内に、暗号通貨ウォレットのプライベートキーを回復するために使用されるBIP39ニーモニックフレーズを盗むように設計された7つのパッケージを発見した。このソフトウェアサプライチェーン攻撃キャンペーンはReversingLabsによってBIPClipと名付けられた。これらのパッケージは、PyPIから削除される前に合計で7,451回ダウンロードされた。パッケージのリストには以下が含まれる – jsBIP39-decrypt (126ダウンロード)、bip39-mnemonic-decrypt (689ダウンロード)、mnemonic_to_address (771ダウンロード)、erc20-scanner (343ダウンロード)、public-address-generator (1,005ダウンロード)、hashdecrypt (4,292ダウンロード)、hashdecrypts (225ダウンロード)である。BIPClipは、暗号通貨ウォレットの生成と保護に関連するプロジェクトに取り組む開発者を対象としており、少なくとも2022年12月4日にhashdecryptが最初にレジストリに公開された時点で活動していたとされる。

セキュリティ研究者Karlo Zankiによると、このキャンペーンは暗号資産をターゲットにした最新のソフトウェアサプライチェーンキャンペーンであり、暗号通貨がサプライチェーン脅威アクターの最も人気のあるターゲットの一つであることを確認している。検出を避けるために、mnemonic_to_addressパッケージは悪意のある機能を持たず、依存関係としてbip39-mnemonic-decryptをリストしているが、これには悪意のあるコンポーネントが含まれている。このパッケージはニーモニックフレーズを盗み、アクターが制御するサーバーに情報を送信するように設計されている。public-address-generatorとerc20-scannerの2つの他のパッケージも同様の方法で動作し、前者は同じコマンドアンドコントロール(C2)サーバーにニーモニックフレーズを送信するための誘いとして機能する。一方、hashdecryptsはペアとして機能するようには設計されておらず、データを収穫するためのほぼ同一のコードを内包している。

このキャンペーンは、GitHubプロファイル「HashSnake」に言及しており、パッケージhashdecryptsを使用して暗号ウォレットからニーモニックフレーズを抽出する方法を宣伝するリポジトリhCryptoを特徴としている。リポジトリのコミット履歴を詳しく調べると、このキャンペーンが1年以上にわたって進行していることが明らかになり、2024年3月1日にhashdecryptsがPyPIにアップロードされた同じ日まで、Pythonスクリプトの1つが以前はhashdecryptsではなくhashdecrypt（”s”なし）パッケージをインポートしていた。また、HashSnakeアカウントの背後にいる脅威アクターは、TelegramとYouTubeにも存在し、彼らのウェアを宣伝している。これには、2022年9月7日に暗号ログチェッカーツールxMultiChecker 2.0を紹介するビデオをリリースすることが含まれる。

発見された各パッケージの内容は、それらを疑わしく見せないように慎重に作成されており、暗号ウォレットを侵害し、それらが含む暗号通貨を盗むことに焦点を当てていた。このキャンペーンがセキュリティや監視ツールに引っかかる可能性が低くなるよう、より広範な議題や野心の欠如が指摘されている。この発見は、正当なサービスのGitHubがマルウェアの配布に使用されることを含む、オープンソースパッケージリポジトリ内に潜むセキュリティ脅威を再び強調している。さらに、放棄されたプロジェクトは、開発者アカウントを乗っ取り、トロイの木馬化されたバージョンを公開することで大規模なサプライチェーン攻撃の道を開く可能性があるため、脅威アクターにとって魅力的なベクトルになっている。

【ニュース解説】

Python Package Index（PyPI）リポジトリ内で、暗号通貨ウォレットのプライベートキーを回復するために使用されるBIP39ニーモニックフレーズを盗むように設計された7つのパッケージが発見されました。この攻撃キャンペーンは「BIPClip」と名付けられ、ReversingLabsによって特定されました。これらのパッケージは、削除される前に合計で7,451回ダウンロードされていました。

このキャンペーンは、暗号通貨ウォレットの生成と保護に関連するプロジェクトに取り組む開発者を標的としており、2022年12月4日に最初のパッケージが公開されて以来、活動していたとされます。セキュリティ研究者によると、このキャンペーンは暗号資産をターゲットにしたソフトウェアサプライチェーン攻撃の最新例であり、暗号通貨がサプライチェーン脅威アクターにとって非常に人気のあるターゲットであることを示しています。

特に注意すべき点は、悪意のある機能を持たないパッケージも含まれていることです。これは、検出を避けるための戦略であり、依存関係を通じて悪意のあるコードを実行するように設計されています。このような手法は、開発者がパッケージの依存関係を十分に確認しないことを利用しています。

このキャンペーンの背後にある脅威アクターは、GitHubやTelegram、YouTubeなどのプラットフォームを利用して、自らのツールを宣伝しています。これは、正当なサービスがマルウェアの配布に悪用されるリスクを示しており、オープンソースのエコシステムにおけるセキュリティの課題を浮き彫りにしています。

この事件は、オープンソースパッケージリポジトリ内に潜むセキュリティ脅威の重要性を再び強調しています。特に、放棄されたプロジェクトやアカウントが、脅威アクターによって乗っ取られ、トロイの木馬化されたバージョンを公開することで、大規模なサプライチェーン攻撃の道具となる可能性があることが指摘されています。

このような攻撃は、開発者や組織にとって、使用するオープンソースのパッケージや依存関係を慎重に管理し、監視することの重要性を示しています。また、セキュリティ対策として、ソフトウェアのサプライチェーンにおけるリスクを評価し、軽減するための戦略を実施することが求められます。この事件は、暗号通貨を含むデジタル資産の保護においても、常に警戒を怠らないことの重要性を教えてくれます。

from Watch Out: These PyPI Python Packages Can Drain Your Crypto Wallets.

admin

See Full Bio