10 Credential Stealing Python Libraries Found on PyPI Repository
2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。
問題のあるパッケージの概要は以下の通りである。
- Ascii2text:Google Chrome/Microsoft Edge/Brave/Opera/Yandex Browser などの Web ブラウザに保存されている、パスワードを収集する悪質なスクリプトをダウンロードする。
- Pyg-utils/Pymocks/PyProto2:ユーザーの AWS 認証情報を盗み出す。
- Test-async/Zlibsrc:インストール中に悪意のコードをダウンロード/実行する。
- Free-net-vpn/Free-net-vpn2/WINRPCexploit:ユーザーの資格情報と環境変数を盗み出す。
- Browserdiv:Web ブラウザのローカル・ストレージ・フォルダに保存されている資格情報などの情報を収集する。
今回の公開は、PyPI/Node Package Manager (NPM) などの、広範に利用されているソフトウェア・リポジトリで、脅威アクターが不正なソフトウェアを公開するという意味で、急速に膨らんでいる最新の事例である。その結果として、ソフトウェア・サプライチェーンが混乱することになる。
悪意のある NPM パッケージが Discord トークンや銀行カードデータを窃取
このようなインシデントがもたらすリスクに対応するため、サードパーティやオープンソース・ソフトウェアを、公開リポジトリからダウンロードする前に、調査を実施する必要性が求められる。
2022年7月に Kaspersky は、NPM パッケージレジストリ内の small-sm/pern-valids/lifeculer/proc-title という4つのライブラリに含まれ、Discordトークンやクレジットカード情報を盗む、非常に難解な悪質な Python/JavaScript コードを公表した。
それは、LofyLife と名付けられたこのキャンペーンであり、便利なライブラリに見せかけたマルウェアを、相当数のダウンストリーム・ユーザーに配布するために、この種のサービスが有効な攻撃経路であることを証明している。
研究者たちは、「サプライチェーン攻撃は、組織と外部の関係者との間に構築された、信頼関係を悪用するよう設計されている。この種の関係性には、パートナーシップや、ベンダーとの関係、サードパーティ・ソフトウェアの使用などが含まれだろう。サイバー脅威者たちは、ある組織を危険にさらし、その後に、サプライチェーンを移動し、それらの信頼関係を利用して、他の組織の環境にアクセスしていく。
このところ、PyPI に関する記事が多いです。2022年5月21日の「PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む」や、6月18日の「PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取」、7月9日の「PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も」という具合に、いろいろな問題が山積している状況のようです。Google Cloud の Assured OSS サービスのようなものが出てくると良いですね。
IoT OT Security News 
You must be logged in to post a comment.