NPM/PyPI に悪意のパッケージ:Python-drgn と bloxflip に要注意

Malicious NPM, PyPI Packages Stealing User Information

2023/02/01 SecurityWeek — NPM/PyPI に存在するパッケージの中に、ユーザー情報の窃取と追加のペイロードをダウンロードの行うものあると、先日に Check Point と Phylum が警告を発した。アプリケーション開発において広く利用されているオープンソース・コードを悪用する脅威アクターたちは、開発者とユーザーをマルウェアに感染させるために、ソフトウェア・サプライチェーン攻撃を多用している。2022年10月の Sonatype のレポートによると、2022年に観測されたソフトウェア・サプライチェーン攻撃の数は、前年比 633% 増となっている。

Node.js (NPM) および Python (PyPI) リポジトリを標的とすることで、パッケージのインストールからコード実行へとつながる攻撃チェーンが可能になるため、悪意のパッケージの置き場所として好まれていると、Check Point は指摘している。


Check Point は、最新レポートにおいて、このような観点から問題が指摘される、悪意の Python パッケージを2つ確認したと述べている。

1つ目の Python-drgn は、2022年8月8日に PyPI にアップロードされたものだ。このパッケージはタイポスクワッティングを用いており、プログラマビリティに重点を置いたデバッガ Drgn を探しているユーザーを騙そうと意図している。

悪意のパッケージは、1個の setup.py ファイルで構成されており、パッケージのインストール時に自動的に実行されるマルウェアが含まれている。このマルウェアが実行されると、ユーザー名/作業ディレクトリ・パス/ネットワーク情報が保存され、リモートのプライベート Slack チャネルへと送信される。

2つ目の悪意のパッケージ bloxflip は、bloxflip.com の API ラッパーである Bloxflip.py パッケージをタイポスクワッティングする。

bloxflip 内の悪意のコードは、検出を防ぐために Windows Defender を無効にした後に、リモート・サーバから実行ファイルを取得し、サブプロセスを作成し、悪意のペイロードを実行する。

その一方で Phylum が発表したのは、パッケージのインストール時に実行される package.json の postinstall スクリプトにペイロードを含む、100 種類以上の悪意の NPM パッケージの発見である。

この悪意のスクリプトは、感染させシステムから各種の情報 (ホスト名/ユーザー名/作業ディレクトリ/パッケージ名/バージョンなど) を採取し、攻撃者が管理するサーバへと送信する。同社は、このパッケージの作者が、24時間の間にリモート・サーバのアドレスを変更していることも確認している。

Check Point は、 「近年、著しく増加している、コード・パッケージ・サプライチェーン攻撃とは、悪意のパッケージの公開を介して、また、コード・リポジトリやパッケージ・マネージャを介して展開されるものであり、正規のコード・パッケージに悪意のコードを注入するかたちで行われる。この種の攻撃により、データの漏洩/業務の妨害/評判の失墜など、深刻な影響が生じる可能性がある」と結論付けている。

Python-drgn と bloxflip という悪意のパッケージが、NPM/PyPI に登場したそうです。Drgn と Bloxflip.py のタイポスクワッティングで開発者を狙うというものです。それぞれのリポジトリに関しては、以下の記事がありますので、よろしければ、ご参照ください。

2023/01/09:Auth0 が JsonWebToken の脆弱性を FIX
2022/11/30:npm 悪意のライブラリ侵入経路が判明
2022/09/22:Tailwind CSS などを模倣する悪意のパッケージ

2023/01/25:Python に PY#RATION というマルウェア
2023/01/16:PyPI に悪意の3つのパッケージ
2023/01/07:CloudFlare Tunnel を悪用するトロイの木馬

%d bloggers like this: