Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Fortinet FortiGuard Labs は、2024年1月22日に発表したレポートで、「これらのパッケージは、PE (Portable Executable) などの Python スクリプトの、Base64 エンコードされたソースコードを、setup.py ファイル内に組み込んでいる。攻撃対象となるデバイスの OS に応じて、これらの Python パッケージがインストールされ、最終的な悪意のペイロードがドロップ/実行される」と詳述している。
Windows システムは WhiteSnake Stealer に感染するが、侵害された Linux ホストには、情報を収穫するように設計された Python スクリプトが提供される。この、主として Windows ユーザーを狙う活動は、2023年に JFrog と Checkmarx が公表したキャンペーンと類似している。
2023年4月に JFrog は、「Windows 固有のペイロードは、WhiteSnake マルウェアの亜種であることが確認された。このマルウェアは、アンチ VM メカニズムを持ち、Tor プロトコルを使用して C2 サーバと通信し、被害者から情報を盗み、コマンドを実行できる」と指摘している。
JFrog の指摘は、「このマルウェアは、Web ブラウザ/暗号通貨ウォレット/WinSCP/CoreFTP/Windscribe/Filezilla/AzireVPN/Snowflake/Steam/Discord/Signal/Telegram などのアプリから、データを取得するように設計されている」というものだった。
その一方で Checkmarx は、このキャンペーンの背後にいる、PYTA31 という脅威アクターを追跡している。PYTA31 の最終的な目標は、ターゲット・マシンから機密データを、特に暗号ウォレットデータを流出させることだと、同社は述べている。
新たに公開された悪意のパッケージの中には、クリップボードの内容を攻撃者が所有するウォレット・アドレスで上書きし、不正なトランザクションを実行する、クリッパー機能が組み込まれているものもある。その他にも、Web ブラウザ/アプリケーション/暗号サービスなどから、データを盗むように設定されているものも多数ある。
Fortinet は、「1人のマルウェア開発者が時間をかけて、多数の情報窃取マルウェアパッケージを PyPI ライブラリに広め、それぞれのペイロードが持つ能力が、多様な複雑さを示すという現実を実証している」と述べている。
また、先日には、npm パッケージ・レジストリ上の2つの悪意のパッケージが、開発者のシステムから Base64 暗号化された SSH キーを盗み、GitHub に保存していることが、ReversingLabs により発見されている。
直近の PypI 関連記事は、2024/01/14 の「PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける」でした。毎月のように、この種の記事がポストされるという、とても憂慮すべき状況が続いている PyPI です。根負けしないで、頑張ってほしいです。よろしければ、PyPI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.