“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto
2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。
CRIL は 2023年5月3日 (水) の アドバイザリで、「調査の結果、精査中の Python パッケージは、Python のセキュリティ・チームにより、PyPI リポジトリから削除されていることが判明した。5月2日に Python セキュリティ・チームに確認したところ、この悪意のパッケージは、アップロードされてから 48時間以内に削除されていたとのことだ」と述べている。
Cyble のアドバイザリには、「このパッケージは、あまりにも早く削除されたため、どれだけの人がダウンロードしたかを判断することはできない。したがって、インシデントの影響は最小限であったかもしれない」と記されている。
Vulcan Cyber の Senior Technical Engineer である Mike Parkin は、このニュースについて、「このパッケージは、最近の脅威アクターが好む、サプライチェーン攻撃の典型例である。このリポジトリの運営チームは、適切に対応した」と認めている。
Parkin は、「パブリック・リポジトリに期待するのは非現実的だ。彼らは多くのことをやってくれる。その一方で脅威アクターたちは、この方法を使い続けると予想される。使用されているライブラリを精査する責任は、最終的には開発者にある」と付け加えている。
また、Netenrich の Principal Threat Hunter である John Bambenek は、オープンソース・ソフトウェア/ライブラリの利点は、ソフトウェア・エンジニアリングの生産性と成果を急速に高めることだ。しかし、脅威アクターを含む誰もが、コードを提供できるという欠点もある、とコメントしている。
彼は、「このような悪意の活動は、すぐに発見することが可能だが、オープンソース・ソフトウェアの取り組みには、悪意のコードの注入から保護するような、大規模な SOC があるわけではない」と述べている。
その一例として、つい2ヶ月ほど前に、npm と PyPI のオープンソース・レジストリに、相当数の悪意のパッケージが存在することを、Sonatype が発見している。
PyPI に悪意のパッケージを仕掛ける脅威アクターと、それを取り除くメンターの戦いが続きます。この、オープンソースのメリットを逆手に取ったサプライチェーン攻撃は、たとえダウンロード数が少なくても、その下流で大きな被害を生じる可能性があります。つい先日の 2023/04/12 にも、「PyPI に reverse-shell という悪意のパッケージ:あからさまな名前を用いる理由は?」という記事がありました。よろしければ、PyPI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.