Researchers Uncover PyPI Package Hiding Malicious Code Behind Image File
2022/11/10 TheHackerNews — PyPI (Python Package Index) が提供されるパッケージの中に、ステガノグラフィを用いて画像ファイル内に、悪意のコードを隠すものが発見された。イスラエルのサイバー・セキュリティ企業 Check Point の説明によると、そのパッケージは apicolor という名前で提供される、REST API 用の Core lib とのことだ。2022年10月31日に apicolor は、Python のサードパーティ・リポジトリにアップロードされたが、その後に削除されている。
最近に検出された、その他の不正パッケージのように apicolor も、パッケージに関連する依存関係などのメタデータ指定に使用される、セットアップ・スクリプト内に悪意の動作を保持している。
そして、このパッケージは、2つ目のパッケージ judyb と連携して、画像共有サービス Imgur でホストされている、無害に見える PNG ファイル (8F4D2uF.png) を取得する。
Check Point の説明によると、「judyb のコードは、ステガノグラフィ・モジュールだと判明しており、その役割として、画像内でのメッセージの隠蔽/表示を担っている」とのことだ。
一連の攻撃は、judyb パッケージを介してダウンロードした、画像に埋め込まれた難読化された Python コードを抽出し、それを解読することで、リモート・サーバから不正なバイナリを取得/実行するよう設計されている。
このような動きは、脅威アクターがオープンソースのエコシステムに狙いを定め、サードパーティ・ソフトウェアの信頼性を悪用して、サプライチェーン攻撃を仕掛ける傾向が強まっていることを示している。
さらに厄介なことに、このような悪意のライブラリは、他のオープンソース・プロジェクトに組み込まれ、GitHub 上で公開されるため、攻撃の範囲と規模の効果的な拡大が懸念される。
Check Point は、「今回の調査結果は、この脅威アクターによる周到な計画と熟考の結果を示し、また、PyPI 上の難読化技術の進化を証明している」と述べている。
最近の傾向として、ステガノグラフィ (steganography) を用いるマルウェアが見かけられるようになってきました。このブログ内を検索したところ、6月23日の「SMS Bomber + Nimbda Backdoor:中国発のグレーウェアを悪用する意図はどこに?」と、9月30日の「Windows Logo に隠されたマルウェアは中国由来:中東の政府組織などを攻撃」が見つかりました。また、PyPI で検索も、よろしければ、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.