Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI
2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。
セキュリティ研究者の Yehuda Gelb は、「BlazeStealer は外部ソースから追加の悪意のスクリプトを取得し、攻撃者が被害者のコンピュータを完全に制御できるようにするための、Discord ボットを有効化する」と説明している。
この、2023年1月に開始されたキャンペーンで用いられるパッケージは、Pyobftoexe/Pyobfusfile/Pyobfexecute/Pyobfpremium/Pyobflite/Pyobfadvance/Pyobfuse/pyobfgood の8種類だが、最後のパッケージは 10月に公開されている。
これらのモジュールには、transfer[.]sh にホストされている Python スクリプトを取得するための setup.py と init.py ファイルが付属しており、インストールすると直ちに実行される。
この BlazeStealer マルウェアは Discord ボットを実行して、Web ブラウザやスクリーンショットからのパスワードの取得/任意のコマンドの実行/ファイルの暗号化/感染させたホスト上の Microsoft Defender Antivirus の無効化などの、幅広い情報の取得を可能にする。
さらに、CPU 使用率を上昇させ、スタートアップ・ディレクトリに Windows バッチ・スクリプトを挿入してマシンをシャットダウンし、BSoD (Blue Screen of Death) エラーを強制的に発生させることでて、コンピュータを使用不能にすることも可能だ。
Yehuda Gelb は、「コードの難読化に取り組んでいる開発者たちは、非常に機密性の高い情報を扱っている可能性が高く、ハッカーにとっては格好のターゲットだといえる」と指摘する。
この不正パッケージのダウンロードの大半は米国で行われており、それに続くのが中国/ロシア/アイルランド/香港/クロアチア/フランス/スペインなどである。これらのパッケージは、削除されるまでに合計で 2,438回もダウンロードされている。
Yehuda Gelb は、「オープンソースの領域は、革新のための肥沃な土地であることに変わりはないが、注意が必要である。開発者は警戒を怠らず、使用する前にパッケージを吟味しなければならない」と述べている。
先週の 2023/11/03 には「npm で発見された 48個の悪意のパッケージ:難読化されたリバースシェルを展開」という記事をポストしましたが、今週は PyPI の番になってしまいました。直近の PyPI 関連の記事は、2023/08/31 の「北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施」でした。よろしれば、PyPI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.