サイバーセキュリティ研究者たちは、人気のあるrequestsライブラリの偽物であると主張する悪意のあるPythonパッケージを特定しました。このパッケージは、プロジェクトのロゴのPNG画像内にGolangバージョンのSliverコマンドアンドコントロール(C2)フレームワークを隠していました。この手法を用いたパッケージはrequests-darwin-liteで、Python Package Index(PyPI)レジストリから削除される前に417回ダウンロードされました。requests-darwin-liteは、実際のrequestsパッケージのサイドバーロゴのPNG画像に悪意のあるGoバイナリをパックしたことが最も顕著な違いです。パッケージのsetup.pyファイルに導入された変更により、システムのUniversally Unique Identifier(UUID)を収集するためにBase64エンコードされたコマンドをデコードして実行するように設定されました。興味深いことに、感染チェーンは特定の値とUUIDが一致する場合にのみ進行し、パッケージの背後にいる作者が他の手段で取得した特定のマシンの識別子を既に所持していることを意味しています。これは、高度にターゲットされた攻撃であるか、より広範なキャンペーンに先立つテストプロセスのいずれかである可能性があります。UUIDが一致すると、requests-darwin-liteは「requests-sidebar-large.png」という名前のPNGファイルからデータを読み取ります。このファイルは、同様のファイル「requests-sidebar.png」を同梱する正規のrequestsパッケージと類似していますが、実際のロゴが300kBのファイルサイズであるのに対し、requests-darwin-lite内のものは約17MBです。PNG画像に隠されたバイナリデータは、セキュリティ専門家がレッドチーム作戦で使用することを目的としたオープンソースのC2フレームワークであるGolangベースのSliverです。パッケージの最終目的は現在不明ですが、この開発はオープンソースエコシステムがマルウェアを配布する魅力的なベクトルであり続けていることを再び示しています。多くのコードベースがオープンソースコードに依存している中、npm、PyPI、その他のパッケージレジストリへのマルウェアの継続的な流入は、ウェブの大部分を脱線させる可能性のある問題に系統的に対処する必要性を浮き彫りにしています。
【ニュース解説】
サイバーセキュリティの研究者たちは、Pythonの人気ライブラリ「requests」を装った悪意のあるPythonパッケージを発見しました。このパッケージは「requests-darwin-lite」と名付けられ、Python Package Index(PyPI)から417回ダウンロードされた後に削除されました。このパッケージの特徴は、プロジェクトのロゴ画像(PNG)内に隠されたGolangバージョンのSliverコマンドアンドコントロール(C2)フレームワークです。この技術はステガノグラフィーと呼ばれ、画像や音声ファイルなどにデータを隠蔽する手法です。
この攻撃の興味深い点は、感染チェーンが特定のUniversally Unique Identifier(UUID)と一致するシステムでのみ進行することです。これは、攻撃者が特定のターゲットを狙っているか、あるいは広範囲にわたる攻撃の前段階としてテストを行っている可能性を示唆しています。一致するUUIDを持つシステムでは、悪意のあるPNGファイルからデータが読み取られ、Sliver C2フレームワークが実行されます。Sliverは、セキュリティ専門家がレッドチーム演習で使用するオープンソースのツールであり、攻撃者がこのツールを悪用することは、その潜在的な危険性を高めます。
この事件は、オープンソースエコシステムがマルウェアの配布に利用されるリスクを浮き彫りにしています。多くの開発プロジェクトがオープンソースのライブラリやツールに依存しているため、このような攻撃は広範囲に影響を及ぼす可能性があります。オープンソースコミュニティは、このような脅威に対処するために、パッケージのセキュリティ検証を強化し、不正な活動を検出するためのシステムを導入する必要があります。
ポジティブな側面としては、この事件がオープンソースのセキュリティ対策の重要性を再認識させる機会となることです。開発者や組織は、使用するライブラリやパッケージの出所を慎重に検討し、セキュリティパッチの適用や脆弱性の監視を徹底することが求められます。また、このような攻撃を防ぐためには、ソフトウェアのサプライチェーン全体でセキュリティ意識を高め、協力して対策を講じることが不可欠です。
潜在的なリスクとしては、この手法が広く模倣され、より多くのオープンソースプロジェクトが標的となる可能性があります。また、特定のターゲットに対する高度にカスタマイズされた攻撃が増加することも懸念されます。規制に与える影響としては、このような攻撃への対応として、オープンソースプロジェクトの管理やパッケージの配布に関するガイドラインが強化される可能性があります。
将来への影響としては、オープンソースコミュニティがより強固なセキュリティ対策を講じることで、ソフトウェアの信頼性と安全性が向上することが期待されます。長期的には、開発者、企業、そしてエンドユーザーが共同でセキュリティ意識を高め、オープンソースエコシステムを守るための取り組みが強化されることが望まれます。
from Malicious Python Package Hides Sliver C2 Framework in Fake Requests Library Logo.
