PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布

A new PyPI Package was found delivering fileless Linux Malware

2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。

Sonatype の専門家たちが、”secrets matching and verification made easy” と称する、悪意の ‘secretslib’ PyPI パッケージを特定した。

専門家たちは、「よく調べてみると、このパッケージは Linux マシンのインメモリ (RAM から直接) で、密かにクリプト・マイナーを実行している。この手法は、ファイルレスのマルウェアやクリプターが、主に採用しているものだ」と述べている。

彼らは、「このパッケージは、リモートサーバーから Linux 実行ファイルを取得し、それを実行することで、メモリ内にダイレクトに ELF ファイル “memfd” をドロップする。それは、’memfd_create’ システム・コールを介して作成された、Monero 暗号採掘器である可能性が高い」と指摘している。

この、memfd_create のような Linux システム・コールを使用すると、ファイルをディスクに書き込むのとは対照的に、匿名ファイルを RAM 上にドロップすることが可能となる。つまり、ハードディスク上に悪意のファイルを出力するという、中間ステップが省略されるため、システムの揮発性メモリに存在するファイルレス・マルウェアを、アンチウイルス製品が積極的に捕捉することは、困難になりがちだと、彼らは分析を続けている。

専門家たちは、「さらに、secretslib パッケージは、”tox” を実行すると自身を直ぐに削除し、tox により注入された暗号化コードは、ハードドライブではなくシステムの RAM 上にのみ存在することになる。したがって、悪意のアクティビティの足跡はほとんど残らず、フォレンジックによる検出が難しいものとなる」と述べている。

なお、secretslib の背後にいる脅威アクターは、UChicago Argonne LLC が米国エネルギー省の、イリノイ州の科学技術研究所である Argonne National Laboratory (ANL.gov) で働くエンジニアの名前を使っていた。それも、興味深い事実である。

数日前には CheckPoint の研究者たちが、Python Package Index (PyPI) 上に存在する、10個の不正パッケージを発見している。これらのパッケージには、開発者の個人情報や認証情報を盗み出すための、情報スティーラーがインストールされている。

このところ、毎週にように PyPI に関する記事が出ています。時系列に並べてみると、5月21日の「PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む」、6月12日の「PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取」、6月22日の「悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる」、8月9日の「PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取」といった感じです。悪意のパッケージをアップする側と削除する側の、イタチごっこが、まだまだ続きそうですね。

%d bloggers like this: