Trojanized PyPI AI Proxy Uses Stolen Claude Prompt to Exfiltrates Data
2026/04/06 CyberSecurityNews — PyPI 上で発見された悪意の Python パッケージは、プライバシー重視の AI 推論ツールを装いながら、バックグラウンドでユーザーの機密データを密かに盗み出すものだ。この、Secure AI Inference Proxy として宣伝されるパッケージ “hermes-px“は、すべての AI リクエストを Tor ネットワーク経由でルーティングすることで、ユーザーの匿名性を保護すると主張している。
しかし、このパッケージの実態は、私立大学の内部 AI エンドポイントを乗っ取り、パッケージを介して送信されたメッセージを収集し、ユーザーに気付かれることなく実 IP アドレスを露出させるものだ。
この脅威が特に危険な理由は、その作り込みの巧妙さと完成度の高さにある。そこに含まれるのは、詳細なドキュメント/インストール手順/コード例/OpenAI Python SDK からの移行ガイド/動作する Retrieval Augmented Generation (RAG) パイプラインなどである。
このパッケージは “EGen Labs” という架空企業の製品として提示され、API インターフェイスは OpenAI Python ライブラリとほぼ同一であった。そのため、無料かつプライバシー重視の AI ツールを探す開発者たちが、不審感を抱く可能性は極めて低かった。
2026年4月5日 に hermes-px を特定したのは、JFrog Security の研究者たちであり、それにより欺瞞の全容が解明された。Guy Korolevski が主導するチームによると、このパッケージは Tor による End-to-End 匿名性を主張しながら、すべてのユーザー会話を攻撃者が管理する Supabase データベースへ秘密裏に転送していた。
このパッケージの標的は、AI モデルを扱う開発者であり、特に有料 SDK の代替として無料ツールを求めるユーザーに狙いを絞っている。PyPI からインストールされた悪意のパッケージがプロジェクトに統合されると、その後に送信されるすべてのプロンプトは、ユーザーには表示されずに記録されていった。
.webp)
README に取り込まれた “Interactive Learning CLI” セクションにより、GitHub の URL からの Python スクリプトの取得/実行が指示される。これにより、攻撃者は追加のコード実行チャネルを獲得し、悪意のパッケージの新たなバージョンを公開することなく、悪意のペイロードの更新/配信を可能にした。
この影響は、単なるデータ収集にとどまらない。事例として挙げられるのは、チュニジア最大の私立大学 Universite Centrale の内部 AI インフラが、ユーザーの同意なしに悪用されていたことだ。
さらに、Tor を完全に迂回するデータの流出経路は、被害者のインターネット接続を介するものであり、実 IP アドレスを露出していった。それは、hermes-px が提供を約束していた保護機能そのものを、無効化するものである。
盗まれた Claude プロンプトが攻撃を支援する仕組み
hermes-px の中核には、約 246,000 文字のシステム・プロンプトを取り込む、”base_prompt.pz” という圧縮ファイルが存在する。それを展開したことで判明したのは、Anthropic の Claude Code システム・プロンプトの、ほぼ完全なコピーであったことだ。
この攻撃者が試みたのは、”Claude” を “AXIOM-1″ に、”Anthropic” を “EGen Labs” に置換する再ブランド化だった。しかし、”Claude” への参照が 6 箇所、”Anthropic” への参照が 2 箇所残存し、そこに Claude 固有の関数名/内部インフラ識別子/サンドボックス・ファイル・システム・パスが含まれていた。それらは、偽造プロンプトでは再現が困難な要素であり、この試みは失敗に終わった。
この盗用プロンプトは、大学内部サービスのアドバイザリ・チャットボット指示を模倣する暗号化ペイロードと一緒に、すべての API コールに挿入されていた。
.webp)
この悪意のパッケージは、3 層の難読化チェーンを使用し、一連の機密情報を隠蔽していた。 すべての文字列は、210 バイト回転キーによる XOR 暗号化/zlib による圧縮/base64 エンコード の順で処理されていた。
パッケージ・ファイル上には、可読性のあるクレデンシャルやエンドポイント URL は存在せず、すべての値は実行時にメモリ上でのみ復号されるため、静的解析は極めて困難だった。
対策
hermes-px のインストールが判明した場合には、直ちに pip uninstall hermes-px を実行し、削除する必要がある。さらに、このパッケージを介して送信された、すべてのクレデンシャル/API キー/機密データを迅速にローテーションする必要がある。また、このパッケージを経由した、すべての会話は完全に取得されたものとして扱い、パスワード/内部 URL/独自コード/個人情報の有無を精査する必要がある。
攻撃者のデータ流出エンドポイント “urlvoelpilswwxkiosey[.]supabase[.]co” はネットワーク・レベルでブロックする必要がある。このパッケージのために Tor を導入している場合には、その削除により攻撃対象領域を縮小できる。
訳者後書:この問題の原因は、信頼できるように見えるパッケージが、巧妙に偽装されていたことにあります。 hermes-px は、プライバシーを守る便利なツールを装いながら、実際には裏側でデータを盗むように設計されていました。特に、正規のライブラリに極めて類似したドキュメントや移行ガイドを用意することで、開発者の心理を突く点が非常に厄介です。また、外部からスクリプトを読み込む仕組みが悪用され、気づかないうちに悪意のある動作が更新される構造も、被害を広げた要因となりました。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.