Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Sonatype のセキュリティ研究者である Ax Sharma は、「この偽ライブラリが興味深いのは、正規の Python ユーティリティである、crytic-compile を模倣して命名されていることに加えて、バージョン番号を本物のライブラリと同じにしている点だ。現時点において、本物のライブラリの最新バージョンは 0.3.7 だが、偽の crytic-compilers のバージョンは 0.3.11 までリリースされている。それにより、正規のコンポーネントの最新バージョンであるかのような印象を与えている」と説明している。
さらに、いくつかの crytic-compilers のバージョン (例えば 0.3.9) では、setup.py スクリプトの修正により、実際のパッケージをインストールすることが判明している。
最新バージョンは、OS が Windows であるかどうかを判断し、Windows であれば実行ファイル “s.exe” を起動することで、善良なライブラリとしての擬態を取り払い、Lumma を取り込んだ追加ペイロードをフェッチするよう設計されている。
MaaS (malware-as-a-service) モデルである Lumma を配布する手口では、トロイの木馬化ソフトウェア/不正広告/偽のブラウザ・アップデートなどの、多様な手法が用いられてきた。
この動向について Sharma は、「熟練した攻撃者たちが、Python 開発者をターゲットにし、また、強力なデータ窃盗ツールの流通チャネルとして、PyPI などの OSS レジストリを悪用していることが示唆される」と述べている。
何百もの WordPress サイトを狙う、偽のブラウザ・アップデート・キャンペーン
Sucuri は、300以上の WordPress サイトが、悪意の Google Chrome アップデート・ポップアップにより侵害されていることを明らかにした。このポップアップは、サイト訪問者を、偽の MSIX インストーラにリダイレクトさせ、情報窃盗やリモートアクセスのためのトロイの木馬を展開させる。
この攻撃チェーンでは、脅威アクターが WordPress の管理インターフェイスに不正アクセスし、Hustle – Email Marketing, Lead Generation, Optins, Popups という正規の WordPress プラグインをインストールするが、そこには、偽のブラウザ更新ポップアップを表示するコードも含まれている。
セキュリティ研究者である Puja Srivastava は、「このキャンペーンが浮き彫りにするのは、ハッカーたちによる正規のプラグインの悪用が増加していることである。大半のプラグインが、WordPress のデータベース内にデータを保存するため、正規のプラグインを悪用することで、ファイル・スキャナーによる検出の回避が可能になる」と述べている。
またも、PyPI に悪意のパッケージがアップされ、すでに 441回もダウンロードされてしまったようです。すでに、攻撃も確認されており、特に WordPress サイトが危険な状態に陥っているようです。この crytic-compile のタイポスクワット版は、削除されているとのことですが、最近にダウンロードした覚えのある開発者の方は、確認が必要です。よろしければ、PyPI で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.