New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection
2024/05/29 InfoSecurity — Python Package Index (PyPI) 上に、悪意のパッケージ pytoileur が存在していたことが、サイバーセキュリティ研究者たちにより明らかになった。その、Python で書かれた API 管理ツールと謳うパッケージには、トロイの木馬化された Windows バイナリを、ダウンロードしてインストールするコードが仕込まれていた。それらのバイナリは、監視の機能/永続化の確立/暗号通貨の窃取などを可能にするおのであり、ダウンローダーとして機能するパッケージは、Sonatype の自動マルウェア検出システムにより発見された後に、ただちに削除された。
![](https://iototsecnews.jp/wp-content/uploads/2024/05/pypi.png?w=657)
Sonatype が 5月29日に発表したアドバイザリによると、同社の調査により、パッケージのセットアップ・ファイル内に隠されたコードが発見されたが、このコードは、base64 エンコードされたペイロードを実行し、悪意の実行ファイルを外部サーバから取得するよう設計されていたという。
ダウンロードされたバイナリ “Runtime.exe” は、PowerShell と VBScript コマンドを利用して自身をインストールし、感染したシステム上で持続性を確立する。このバイナリでは、セキュリティ研究者による分析を回避するために、さまざまな検知防止策が採用されている。
このバイナリは、情報窃取と暗号ジャッキングが可能なものであり、Web ブラウザに保存されたユーザー・データを狙い、Binance/Coinbase などの暗号通貨サービスに関連する資産にアクセスする。
さらに調査を進めると、数カ月前から展開されている広範な “Cool package” キャンペーンの一部として、pytoileur が機能していることが判明した。このキャンペーンには、PyPI 上の複数の悪意のパッケージが関与しており、いずれもトロイの木馬化されたバイナリをダウンロードするために、似たような手口を使用していた。
たとえば、このキャンペーンの一部として、gpt-requests/pyefflorer といったパッケージが確認されている。それらが採用していたのは、悪意のペイロードを隠すための、同様の base64 エンコーディング技術だった。
また、lalalaopti というパッケージには、クリップボードのハイジャック/キーロギング/リモート・ウェブカメラ・アクセスなどを目的としたモジュールが含まれており、攻撃者の広範な悪意が示唆されている。
Sonatype は、「同じ手口と用いる悪質な Python パッケージが、今週に再び出現したことが示すのは、攻撃者が攻撃範囲を広げ、標的を拡大するために、古い戦術を復活させ、再利用していることである。このような手口には、AI や機械学習に熱心な開発者が関与していることが多い」と述べている。
PyPI に悪意のパッケージ Pytoileur が登場とのことなので、開発者の方々は、ご注意ください。文中の末尾にある、攻撃者たちは、古い戦術を復活させ、再利用している。このような手口には、AI/ML 開発者が関与していることが多い、という部分が気になります。たしかに、以前に仕掛けられた攻撃の中で、最も費用対効率の良かったものなどを、そして、いまも脆弱性が放置されているケースが多いものなどを、AI が選び出すというシナリオは有り得そうです。今後、気にかけていきたいと思います。よろしければ、PyPI で検索も、ご利用ください。
You must be logged in to post a comment.