“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
先日に Imperva Threat Research チームが発見した、PyPI に存在する “sellpass-sdk” というフェイク・パッケージから、Blank Grabber 情報窃取マルウェアが配布されていることが判明した。いくつかのインシデントが発生した後に、Blank Grabber が発見されたことで、Python 開発におけるサイバー・セキュリティが、憂慮すべき状況にあることが示唆される。
この悪意のパッケージは、正規のパッケージ “sellpass” を忠実に模倣しており、信頼性を確立するために、さまざまな手口を用いてきた。具体的に言うと、似たような作者名の使用や、複数のバージョンを作成と、活発なメンテナンスなどを装うという手法である。このような策略により、この悪意のパッケージは何度も繰り返してダウンロードされ、システムにマルウェアを容易に侵入させてきたという状況が、浮き彫りにされている。
ひとたびインストールされた Blank Grabber は、有害な振る舞いを見せている。感染したデバイス上で着信やメッセージをブロックし、被害者が重要なアラートを受け取れないようにする機能が備わっている。そして、このマルウェアは、データ流出とシステム侵害という、洗練された戦略を実行していった。
Blank Grabber は、以下のようなセキュリティ侵害を引き起こす:
- 認証情報やセッション・クッキーの窃取
- 暗号通貨ウォレットへのアクセス
- デバイスの画面の監視
- Web カメラへの不正アクセスや制御
- ローカルまたは企業ネットワークの侵害
- 影響を受けたシステム上で永続性を維持する複数のメカニズムの実装
このインシデントは、サイバー・セキュリティにおける警戒の重要性を痛感させるものだ。特に PyPI のようなリポジトリからパッケージを調達する際には、開発者もユーザーも注意を払う必要がある。マルウェア Blank Grabber のケースは、Python コミュニティへの警鐘であり、相互接続が進むこの世界において、常に注意を払い、厳格なセキュリティを実践する必要性を強調している。
Python Package Index (PyPI) におけるリポジトリ汚染が止まりません。もちろん、悪意のパッケージやマルウェアが見つかるたびに対策が講じられていますが、脅威アクターたちも新たな抜け道を常に見つけ出しているようです。また、ここでもステルス化の技術が高まっており、その点も気になります。よろしければ、PyPI ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.