Experts Identify Fully-Featured Info Stealer and Trojan in Python Package on PyPI
2023/03/02 TheHackerNews — 完全な機能を備えた情報スティラーとリモート・アクセス型トロイの木馬を含む、悪意の Python パッケージが、PyPI (Python Package Index) にアップロードされていたことが判明した。この、colorfool と名付けられたパッケージは、Kroll の Cyber Threat Intelligence Team により発見され、このマルウェア自体は Colour-Blind と呼ばれている。Kroll の研究者である Dave Truman と George Glass は、「Colour-Blind マルウェアは、他から調達したコードから複数の亜種を生成する。つまり、サイバー犯罪の不偏化により、脅威が激化していく可能性を示している」と、The Hacker News と共有したレポートで述べている。
この数ヶ月で発見された他の不正な Python モジュールと同様に、colorfool もセットアップ・スクリプトに悪意のコードを隠し持ち、Discord 上にホストされている ZIP アーカイブ・ペイロードを参照する。
このファイルには、Python スクリプト (code.py) が含まれており、キー入力の記録/Cookie の盗用/セキュリティ・ソフトウェアの無効化などを目的とする、さまざまなモジュールが付属している。さらに、サンドボックス内での実行を判定することで検出を回避した後に、Visual Basic スクリプトにより永続性を確立し、データの流出には transfer[.]sh を使用するとされる。
研究者たちは、「このマルウェアは、遠隔操作の方法として Flask ウェブ・アプリケーションを使用する。Flask を起動し、Cloudflare のリバース・トンネル・ユーティリティ cloudflared を介してインターネットにアクセスできるようにし、インバウンド・ファイアウォールのルールをバイパスする」と説明している。
Cloudflareトンネルの使用は、先月に Phylum により公表された別のキャンペーンを反映したものであり、6つの不正なパッケージを利用して、poweRAT と名付けられたスティラー/RATを配布している。
このトロイの木馬は機能が豊富であり、それらを列挙すると、パスワードの収集/アプリケーションの終了/スクリーン・ショットの撮影/キーストロークの記録/ブラウザ上で任意の Web ページを開く/コマンドの実行/暗号ウォレットのデータのキャプチャ/Web カメラを介した被害者のスヌーピングなどが挙げられる。
今回の発見は、 W4SP スティラーに関連するソースコードを活用する脅威アクターたちが、ratebypass/imagesolverpy/3m-promo-gen-api などの Python パッケージを介して配布される、模倣版を生み出していることを示すものだ。
さらに、Phylum は、Spark と呼ばれる Go ベースのリモート・アクセス型トロイの木馬を配信するために使用されている、pycolured/pycolurate/colurful という3つのパッケージを発見している。
同社は、PyPI を標的とした攻撃に加えて、未知の脅威アクターが Rust 実行ファイルを展開するために 1,138 ものパッケージを公開し、そのパッケージから追加のマルウェア・バイナリをドロップするという、大規模な攻撃キャンペーンの詳細についても明らかにした。
同社の研究チームは、「攻撃者にとってのリスク/リターンは、多額の暗号通貨を持つターゲットを獲得できるのであれば、最小の時間と労力の負担であり、十分見合うものだ。そして、企業や政府などの大企業における、開発者の SSH キー損失の潜在的な損害に比べれば、bitcoin の支出も微々たるものだ」と述べている。
PyPI に仕込まれる悪意のパッケージですが、次々と新しいものがアップロードされているようです。2月以降だけでも、以下のように、影響力の大きそうなインシデントが発生しています。御用心ください。
2023/02/13:PyPI に 451 個のタイポスクワッティング
2023/02/12:PyPI パッケージに潜む W4SP Stealer
2023/02/10:PyPI に 悪意のパッケージ:すでに 450回 DL
2023/02/01:悪意のパッケージ:Python-drgn と bloxflip
IoT OT Security News 
You must be logged in to post a comment.