PyPI に W4SP Stealer:大量の亜種が出回り 2500回もダウンロードされた

Hackers bombard PyPi platform with information-stealing malware

2022/12/20 BleepingComputer — Python パッケージ・リポジトリである PyPI に、情報窃取マルウェアを取り込んだ悪意のパッケージが相次いでドロップされ、ソフトウェア開発者のデータが盗み出されている。このキャンペーンでドロップされたマルウェアは、オープンソース W4SP Stealer のクローンであり、PyPI 上で 2022年11月に広まったマルウェア感染の原因となったものでもある。それ以来、W4SP をドロップする 31個のパッケージが、PyPI リポジトリから削除されてはいるが、このマルウェアの運営者は、マルウェアを再導入するための新たな方法を模索し続けているようだ。


オープンソースの開発者をターゲットに

先週に Phylum 研究チームは、PyPI上でW4SPを配布していた 47個のパッケージを発見したと報告している。しかし、脅威アクターが主要なペイロードを展開するために使用したレポジトリを、GitHub が終了させた後に、この操作は中断されている。

そして昨日に Phylum が、PyPI 上の少なくとも 16個のパッケージが、W4SP Stealer をベースにした 10種類の情報窃取マルウェア亜種を拡散していると報告した。

これらの情報窃盗マルウエア含む、悪意のパッケージは以下の通りだ。

  • modulesecurity – 114 downloads
  • informmodule – 110 downloads
  • chazz – 118 downloads
  • randomtime – 118 downloads
  • proxygeneratorbil – 91 downloads
  • easycordey – 122 downloads
  • easycordeyy – 103 downloads
  • tomproxies – 150 downloads
  • sys-ej – 186 downloads
  • py4sync – 453 downloads
  • infosys – 191 downloads
  • sysuptoer – 186 downloads
  • nowsys – 202 downloads
  • upamonkws – 205 downloads
  • captchaboy – 123 downloads
  • proxybooster – 69 downloads

これらのパッケージは、Celestial Stealer/ANGEL stealer/Satan Stealer/@skid Stealer/Leaf $tealer という名のスティーラーをドロップしているが、それらがすべてが、W4SP コードに基づいていることを、Phylum は確認している。

Phylum は、「それぞれのデプロイメントは、単に名前を置き換えているだけであり、W4SP リファレンスの検索/置換を行っているようだ。場合によっては、すべての参照が削除されずに、”W4SP” という文字列が痕跡として残っていることもある」と述べている。

“chazz” という例外を除いて、新たな脅威アクターたちは、複数のステージとコードの難読化を特徴とする、W4SP の複雑な攻撃チェーンに従っていない。つまり、エンコードされていないコードを、main.py/init.py ファイルにダイレクトにドロップするため、基本的なコード・レビューで、その性質を容易に判別できる。

Informmodule _init_.py code
Informmodule ‘_init_.py’ code (Phylum)

Leaf $tealer のコピーをドロップする “chazz” パッケージだけが、BlankOBF ツールによる難読化に対応しているが、それでも難読化を解除するのは簡単である。

それらの新たな情報スティーラーたちは、マルウェアのペイロードをダウンロードさせるためのリモート・リソースとして、W4SP と同じ手口で GitHub リポジトリを使用している。

The GitHub repository of Satan Stealer
The GitHub repository of Satan Stealer (Phylum)

これらのマルウェア・クローンが、W4SP と同じ脅威アクターにより運営されているのか、その模倣品であるのかは不明だが、過去のキャンペーンを模倣しようとする、別のグループによるものだという仮説を、Phylum は立てている。

このレポートで紹介したパッケージは、すべてが PyPI リポジトリから削除されたが、その前に 2,500回以上もダウンロードされている。

ハッカーたちは、開発者のシステムを危険にさらすことで、より大規模な攻撃の機会を得られるため、OSS パッケージ・リポジトリを標的とするケースが増えている。

そして開発者たちは、認証トークンや API キーを、アプリケーション内に保存することが多いため、それらの秘密を盗み出した脅威アクターたちは、より広範囲なサプライチェーン攻撃を行えるようになる。もちろん、盗み出したデータをもとに、恐喝を行うこともある。

OSS リポジトリを汚染させることで、多くの感染者が生じることになる。したがって脅威アクターたちは、その努力が報われる限り、別の ID とアカウントで、不正なパッケージをアップロードし続けるだろう。

この W4SP Stealer インシデントに関しては、11月2日「PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける」でもお伝えしていますが、悪意のパッケージのダウンロード数が判明したようです。文中にもリンクを貼っていますが、詳細については Phylum のレポートを、ご参照ください。よろしければ、InfoStealer で検索も、ご利用ください。

%d bloggers like this: