Culturestreak というクリプト・マイナー:GitLab Python に潜んでいる

‘Culturestreak’ Malware Lurks Inside GitLab Python Package

2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。

Checkmarx によると、このパッケージがダウンロード/デプロイされると、無限ループの実行によりシステム・リソースが悪用され、大規模なクリプト・マイニング。オペレーションの一部として、Dero 暗号通貨を不正マイニングするという。


Checkmarx のセキュリティ研究者である Yehuda Gelb は、「Culturestreak パッケージがに実行する、この種の無許可での採掘作業は、システムのリソースを搾取し、コンピュータの速度を低下させ、さらなるリスクもたらす可能性がある」と述べている。

永続的な脅威

今回の発見が浮き彫りにするのは、最小限の労力で多数被害者に到達させる方法として、開発者がソフトウェア構築で使用する OSS パッケージに毒を盛るという、脅威アクターたちによる持続的なサプライチェーンの脅威である。

今年の初めに Checkmarx は、この手口に対する防御方法として、悪意のパッケージがソフトウェアのサプライチェーンに到達する前に特定するための、脅威インテリジェンス API を発表している。

特に Python パッケージは、ソフトウェア開発の OSS プラットフォームとして人気があるため、悪意のペイロードを隠す場所として選ばれ続けている。Python の開発者たちは、GitLab や GitHub のようなリポジトリを通じてコード・パッケージを共有することが多く、脅威アクターが悪用しやすいエコシステムとなっている。

さらに脅威アクターたちは、Python Package Index (PyPI) のユーザーを標的とした、悪意のソーシャル・エンジニアリング・キャンペーンも行っている。

回避と展開

デプロイされた Culturestreak は、Base64 でエンコードされた文字列をデコードするが、そこで用いられるのは、機密情報コードの意図を理解し難くするための難読化手法である。

最初のアクションとして、このパッケージは HOST/CONFIG/FILE などの変数をデコードし、その後の操作ステップで悪用できるようにする。そして悪意のパッケージは、ダウンロードされた悪意のバイナリ・ファイル名となる FILE 変数を、1〜999,999 のランダムな整数に設定する。

Yehuda Gelb は、「その理由として考えられるのは、ウイルス対策ソフトやセキュリ・ティソフトが、固定された命名規則に基づき、悪意のファイルを検出するのを妨害することだ」と述べている。

続いて Culturestreak は “bwt2″と呼ばれるバイナリ・ファイルをダウンロードして、それを “/tmp/” ディレクトリに保存する。研究者たちは、難読化されているバイナリを読むことができなかったが、リバース・エンジニアリングに成功し、それが UPX Packer バージョン 4.02 でパックされていることを発見した。

その解凍に成功した研究者たちは、gcc バイナリ・ファイルを抽出し、それが GitHub 上の Dero 暗号をマイニングするための、最適化されたツールであることが判明した。

機械の歯車

Yehuda Gelb は、「前述のとおり、このバイナリは、ハードコードされた pool URL とウォレット・アドレスを使用して、無限ループで実行されるようにプログラムされている。つまり、暗号通貨の不正マイニングのために、システム・リソースを悪用しようとする試みであり、システム・リソースを継続的に悪用する執拗な脅威となっている」と指摘している。

彼は、「この pool URL は、暗号通貨を効率的に採掘するために、複数のユーザーがコンピューティング・パワーを結合するサーバである。したがって、このパッケージがユーザーの同意を得ることなしに、そのコンピュータを採掘作業の歯車に変えていることが示唆される」と付け加えている。

Culturestreak という悪質なコード・パッケージの発見は、未検証のソースからのコードやパッケージに対する、開発者による吟味の必要性を示している。その重要性が、改めて確認された。さらに開発者は、ソフトウェア開発に対する潜在的な脅威について、常に情報を得るために脅威インテリジェンス・ソースに従うべきである。

この悪意のコード・パッケージによるクリプト・マイニングのペイロードが、ユーザーのシステム上で実行されている場合に、それを特定するために有用な、IoC (indicators of compromise) リストを、Checkmarx は提供している。

冒頭に「あまりにも有りふれた」と記述されていますが、またも悪意のオープンソース・パッケージが出回っているようです。この、下流へと向かう問題は、世界中の全ての組織に影響を及ぼすものであり、2023/09/13 の「CISA がオープンソース保護を本格化:セキュリティ・ロードマップを発表」で解説されているように、米政府も本腰を上げるという展開になっています。よろしければ、DevSecOps ページを、ご参照ください。