Researchers Uncover PyPI Packages Stealing Keystrokes and Hijacking Social Accounts
2024/12/24 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた2つの悪意のパッケージが、侵害したホストから機密情報を盗み出していると、Fortinet FortiGuard Labs がフラグ付けしていることが発表された。
この悪意のパッケージは zebo と cometlogger という名前で提供され、削除されるまでに、それぞれが 118 回と 164 回のダウンロードを数えている。ClickPy の統計によると、これらのダウンロードの大半は、米国/中国/ロシア/インドからになっているという。
セキュリティ研究者である Jenna Wang は、「zebo は、監視/データ窃盗/不正な制御のための機能を備えた、典型的なマルウェアの形態を取っている。cometlogger は、動的なファイル操作/Webhook の挿入/情報の窃取/アンチ・仮想マシン・ チェックなどの、悪意のアクティビティを持つ」と付け加えている。
最初の紹介したパッケージ zebo は、16 進数でエンコードされた文字列などの難読化技術を用いて、HTTP リクエストを介して通信する C2 サーバの URL を隠し持っている。
それに加えて、pynput ライブラリによるキーストロークのキャプチャや、ImageGrab による1 時間ごとのスクリーンショットの取得も行う。それにより、ローカル フォルダーに保存されたデータは、C2 サーバから取得された API キーを使用して、無料の画像ホスティング・サービス ImgBB へとアップロードされる。このように、データを収集するための多数の機能が備わっている。
さらに、このマルウェアはバッチ スクリプトを作成して Python コードを起動し、Windows スタートアップ・フォルダーに追加することで、再起動時における自動的な実行を達成し、マシン上での永続性を確立する。
その一方で、cometlogger も多くの機能を備えており、Discord/Steam/Instagram/X/TikTok/Reddit/Twitch/Spotify/Roblox などのアプリから、クッキー/パスワード/トークン/アカウント関連データなどの、幅広い情報を吸い上げる。
それに加えて、システム・メタデータ/ネットワーク 情報/実行中のプロセス・リスト/クリップボードなどのコンテンツも収集できる。さらに、仮想環境での実行を回避するためのチェックが組み込まれており、ファイルへのアクセス制限を解除するために、Web ブラウザー関連のプロセスを終了する。
Wang は、「これらのマルウェアは、タスクを非同期で実行し、スクリプトにより効率を高め、短時間で大量のデータを盗み出していく。一部の機能では、正当なツールが使用される可能性があるが、透明性が欠如しているため、テストにおいて実行するのは危険である。実行する前には必ずコードを精査し、検証されていないソースからのスクリプト・インタラクションは避けるべきだ」と指摘している。
ひさびさの PyPI 関連記事ですが、いつものように悪意のパッケージの話になってしまいました。それぞれのパッケージのダウンロード数は 118 回と 164 回ですが、もし、それらが使用されていまうと、さまざまな場所に脅威が拡散していくことになります。PyPI を利用する開発チームは、十分に ご注意ください。よろしければ、PyPI で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.