Last Updated on 2024-10-31 00:08 by admin
サイバーセキュリティ研究者たちは、オープンソースのPythonパッケージインデックス(PyPI)リポジトリ上で、Windowsシステムに情報窃取マルウェア「WhiteSnake Stealer」を配布する悪意のあるパッケージを特定しました。このマルウェアを含むパッケージは、nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends、TestLibs111と名付けられ、「WS」という脅威アクターによってアップロードされました。これらのパッケージは、setup.pyファイル内にBase64でエンコードされたPEまたは他のPythonスクリプトのソースコードを組み込んでいます。Pythonパッケージがインストールされると、被害者のデバイスのオペレーティングシステムに応じて、最終的な悪意のあるペイロードがドロップされ実行されます。
WindowsシステムはWhiteSnake Stealerに感染し、Linuxホストは情報を収集するPythonスクリプトが提供されます。この活動は、主にWindowsユーザーを対象としており、JFrogとCheckmarxが昨年公開したキャンペーンと重なります。Windows専用のペイロードは、Anti-VMメカニズムを持ち、Torプロトコルを使用してC&Cサーバーと通信し、被害者から情報を盗み出しコマンドを実行する能力があるWhiteSnakeマルウェアのバリアントとして特定されました。また、ウェブブラウザ、暗号通貨ウォレット、WinSCP、CoreFTP、Windscribe、Filezilla、AzireVPN、Snowflake、Steam、Discord、Signal、Telegramなどのアプリからデータをキャプチャするよう設計されています。
Checkmarxは、このキャンペーンの背後にいる脅威アクターをPYTA31として追跡し、ターゲットマシンから特に暗号ウォレットデータを抜き出すことを最終目標としています。新たに公開された悪意のあるパッケージのいくつかは、クリップボードの内容を攻撃者が所有するウォレットアドレスに上書きし、不正な取引を行うクリッパー機能を組み込んでいることが観察されました。また、ブラウザ、アプリケーション、暗号サービスからデータを盗むよう設定されたものもあります。
Fortinetは、この発見が「単一のマルウェア作者が時間をかけてPyPIライブラリに多数の情報窃取マルウェアパッケージを拡散できる能力を示している」と述べています。この発表は、ReversingLabsがnpmパッケージレジストリ上で2つの悪意のあるパッケージを発見し、それらがインストールされた開発者システムから盗まれたBase64で暗号化されたSSHキーをGitHubに保存することを利用していることが判明したことに続くものです。
【ニュース解説】
オープンソースのPythonパッケージインデックス(PyPI)リポジトリにおいて、Windowsシステムを狙った情報窃取マルウェア「WhiteSnake Stealer」を含む悪意のあるパッケージが特定されました。これらのパッケージは、特定の脅威アクターによってアップロードされ、Pythonパッケージがインストールされる際に悪意のあるペイロードをドロップし、実行する仕組みを持っています。
このマルウェアは、Windowsシステムに感染すると、ウェブブラウザや暗号通貨ウォレット、さまざまなアプリケーションから情報を盗み出す能力を持っています。また、Linuxホストに対しては、情報を収集するPythonスクリプトが提供されます。このような攻撃は、主にWindowsユーザーを対象としており、以前にも類似のキャンペーンが報告されています。
この攻撃キャンペーンの背後にいる脅威アクターは、特に暗号ウォレットデータを狙っており、クリップボードの内容を攻撃者が所有するウォレットアドレスに上書きすることで、不正な取引を行うことも可能です。さらに、ブラウザやアプリケーション、暗号サービスからデータを盗む設定がされているパッケージも存在します。
この事例は、単一のマルウェア作者が複数の情報窃取マルウェアパッケージをPyPIライブラリに拡散できる能力を示しており、オープンソースのリポジトリの安全性に対する新たな課題を提示しています。また、開発者が使用するnpmパッケージレジストリにおいても、悪意のあるパッケージが発見され、GitHubを利用して盗まれたSSHキーを保存するという手法が利用されていることが明らかになりました。
このような攻撃は、ソフトウェアのサプライチェーンの脆弱性を利用するものであり、開発者や組織にとって、使用するパッケージの安全性を確認することの重要性を改めて強調しています。また、この問題は、オープンソースのリポジトリを管理する側にも、より厳格なセキュリティ対策と監視体制の構築を求めるものです。将来的には、このような攻撃を防ぐための新たな技術や手法の開発、およびオープンソースコミュニティとセキュリティ研究者との協力がさらに重要になってくるでしょう。
from Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines.