AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ

Multiple Backdoored Python Libraries Caught Stealing AWS Secrets and Keys

2022/06/24 TheHackerNews — 研究者たちは、一般公開されたエンドポイントへ向けて、AWS の認証情報/環境変数を流出させるよう設計された悪意の Python パッケージを、サードパーティの公式ソフトウェア・リポジトリで数多く発見した。Sonatype のセキュリティ研究者 Ax Sharma によると、それらのパッケージには loglib-modules/pyg-modules/pygrata/pygrata-utils/hkg-sol-utils が含まれていたが、現在では一連のエンドポイントも含めて削除されているとのことだ。彼は、「これらのパッケージのいくつかは、ユーザーの機密情報を窃取/流出させるコードを含んでいるか、その機能をもつ依存関係を使用している」と述べている。

loglib-modules と pygrata-utils に注入された悪意のコードにより、それらのパッケージは AWS 認証情報/ネットワーク情報/環境変数などを窃取し、リモート・エンドポイントにエクスポートする:

hxxp://graph.pygrata[.]com:8000/upload

困ったことに、この情報を何百もの .TXT ファイルでホストしているエンドポイントは、認証バリアにより保護されていない。そのため、Web 上の誰でもが、これらの認証情報にアクセスすることを事実上許している。

pygrata のようなパッケージは、前述の2つのモジュールのうちの一方を依存関係として使用しているため、その悪意のコード自体は保有していない。したがって、脅威アクターの身元と動機は、依然として不明である。


Sharma は、「盗まれた認証情報は、意図的に Web 上に公開された可能性がある。また、OPSEC の不十分なセキュリティ対策の結果として、漏洩した可能性もある。もし、ある種の正当なセキュリティ・テストであるならば、この活動が不審であると断定するための情報が、現時点では不足している」と述べている。

このような不正パッケージが、オープンソース・リポジトリから発見されるのは、初めてのことではない。ちょうど1カ月前、ctx/phpass と名付けられたトロイの木馬化された Python と PHP パッケージが、ソフトウェア/サプライチェーン攻撃で発見されている。

イスタンブールを拠点とするセキュリティ研究者である Yunus Aydın は、「1,000万以上のユーザーと企業に、この単純な攻撃が与える影響を示したかった」と述べ、この不正改造の責任を認めている。先月には、ドイツのペンテスト会社である Code White も、国内の顧客 (主に著名なメディア/物流/工業会社) を標的とした、依存関係かく乱攻撃をリアルに模倣するために、悪意パッケージを NPM レジストリにアップロードしたことを認めている。

文中では、脅威アクターの身元と動機は依然として不明と記されていますが、やりすぎのペンテストが遠因という見方もあるのかもしれません。6月12日の「PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取」では、タイプミスを持つ良性のパッケージと、悪質なタイポスクワッティング・パッケージの組み合わせで、大きな影響が生じたことが報じられています。このような領域が注目を集めていますが、とても良いことだと思います。よろしければ、カテゴリ Inventory を、ご参照ください。

%d bloggers like this: