悪意の Python 暗号通貨取引パッケージ:PyPI と GitHub で 1,300 回以上もダウンロード

Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code

2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。

Checkmarx は、「このマルウェアはインストール時に自動的に起動するものであり、Windows/macOS オペレーティング・システムをターゲットにしている。 このマルウェアは、バック・グラウンドで悪意の活動を実行するが、その間に、被害者の注意をそらすために欺瞞的な GUI が使用される」と、The Hacker News に共有された新たなレポートで述べている。

このパッケージは、”init.py” ファイルに挿入された悪意のコードにより、ターゲット・システムの Windows/macOS 属性を判別したうえで、インストール直後から適切なバージョンのマルウェアを実行できるように設計されている。

このコード内には、追加のペイロードをダウンロード/実行し、多段階の感染プロセスを開始するためのヘルパー機能が取り込まれている。

具体的に言うと、それらのペイロードは、暗号通貨取引ボット・サービスを宣伝する偽の Web サイト “coinsw[.]app” からダウンロードされる。この偽サイトは、Web ブラウザーでアクセスする開発者に対して、ドメインに正当性を装う試みである。

このアプローチは、脅威アクターたちを検出する試みを回避するだけではなく、正当性を装う Web サイトでホストされるペイロードを変更するだけで、さまざまなマルウェアを自由に展開できる。

この感染プロセスの注目すべき点は、マルウェアがシステムから機密データを秘密裏に収集している間に、偽のセットアップ・プロセスにより被害者の注意をそらす、GUI コンポーネントが組み込まれているところにある。

Python Package

Checkmarx は、「CryptoAITools マルウェアは、感染したシステム上の各種の機密情報をターゲットにして、大規模なデータ盗難のオペレーションを試みる。主な目的は、攻撃者にとって役立つ可能性のある、暗号通貨資産に関連するあらゆるデータを収集することにある」と述べている。

そこに含まれるものとしては、暗号通貨ウォレットである Bitcoin/Ethereum/Exodus/Atomic/Electrum などの情報に加えて、保存されたパスワード/Cookie/閲覧履歴/暗号通貨拡張機能/SSH キー/ドキュメント/財務情報を参照する、デスクトップ・ディレクトリに保存されたファイルや、Telegram のデータなどがある。

Apple macOS マシン上で、このインフォ・スティーラーは、Apple Notes/Stickies アプリからのデータ収集も実行する。そして、収集された情報は、”gofile[.]io” ファイル転送サービスにアップロードされ、その後にローカル・コピーは削除される。

Checkmarx は、「この脅威アクターは、Meme Token Hunter Bot という GitHub リポジトリを通じて、同じスティーラー・マルウェアを配布している。そこに記されている宣伝文句は、Solana ネットワーク上の全ミーム・トークンをリスト化し、安全であると判断された場合にリアルタイムで取引を行う、AI 搭載の取引ボットという主張だ」と述べている。

つまり、このキャンペーンは、GitHub からダイレクトにコードを複製/実行する、暗号通貨ユーザーもターゲットにしているようだ。この記事の執筆時点で、そのアクティブなリポジトリは1 回フォークされ、10個のスターを得ている。

また、この悪意のオペレーターは、前述の GitHub リポジトリを宣伝する Telegram チャンネルを管理し、月額サブスクリプションとテクニカル・サポートを提供している。

Checkmarx は、「このマルチ・プラットフォーム・アプローチにより、攻撃者は広範囲に網を張ることが可能となり、それぞれのユーザーが持つ、それぞれのプラットフォームごとの信頼性を悪用して、被害者に到達させようとしている」と付け加えている。

CryptoAITools マルウェア・キャンペーンは、暗号通貨コミュニティの広範に対して深刻な影響を及ぼす。悪意の “Meme-Token-Hunter-Bot” リポジトリに騙され、スターを付けたユーザーたちは潜在的な被害者であり、それにより攻撃の範囲が大幅に拡大していく。

PyPI と GitHub で 1,300 回以上もダウンロードされた、Python 暗号通貨取引パッケージが、悪意を持って作成されたものだったという話です。このような役割を持ったパッケージが汚染されてしまうと、ただちに影響が出るかもしれません。とにかく、開発者による対応が急がれますが、それに気づいているひとが、どれだけいるのだろうと思うと、怖くなってきます。よろしければ、Python で検索も、ご利用ください。