PyPI

PyPI (Python Package Index) 上の 6 つの悪意のあるパッケージが、Cloudflare Tunnel を使用してリモート アクセスのファイアウォール制限をバイパスしている間に、情報を盗む RAT (リモート アクセス トロイの木馬) マルウェアをインストールしていることが判明しました。

悪意のあるパッケージは、ブラウザーに保存されているユーザーの機密情報を盗み、シェル コマンドを実行し、キーロガーを使用して型指定された秘密を盗もうとします。

6 つのパッケージは、PyPI の新しいキャンペーンを注意深く監視しているPhylum 研究チームによって発見されました。

研究者は、これらの悪意のある拡張機能が 12 月 22 日にパッケージ リポジトリに最初に出現したことを報告しています。攻撃者は、年末まで他のパッケージをアップロードし続けました。

Phylum が検出した 6 つの悪意のあるパッケージは次のとおりです。

  • パイロロジン– 165 ダウンロード
  • easytimestamp – 141 ダウンロード
  • ディスコーダー– 83 ダウンロード
  • discord-dev – 228 ダウンロード
  • style.py – 193回のダウンロード
  • pythonstyles – 130回のダウンロード

現在、すべてのパッケージは PyPI から削除されていますが、それらをダウンロードした人は、感染の残骸、特に持続メカニズムを手動でアンインストールする必要があります。

情報窃取機能

これらのファイルのインストーラー (setup.py) には、PowerShell スクリプトにデコードされる base64 でエンコードされた文字列が含まれています。

このスクリプトは、「-ErrorAction SilentlyContinue」フラグを設定して、エラーが発生した場合でもスクリプトがサイレント モードで続行されるようにし、開発者による検出を回避します。

PowerShell スクリプトは、リモート リソースから ZIP ファイルをダウンロードし、ローカルの一時ディレクトリに解凍してから、リモート コントロールとスクリーンショットのキャプチャを可能にする依存関係と追加の Python パッケージのリストをインストールします。

その段階で、「flask」と「flask_cloudflared」という 2 つの追加パッケージがサイレント インストールされます。

ZIP 内のファイルの 1 つである「server.pyw」は、4 つのスレッドを起動します。1 つはシステムの再起動間の持続性を確立するため、もう 1 つはプロキシされたオニオン サイトに ping を送信するため、もう 1 つはキーストローク ロガーを開始するため、もう 1 つは侵害されたマシンからデータを盗むためです。 .

盗まれたデータには、暗号通貨ウォレット、ブラウザの Cookie とパスワード、Telegram データ、Discord トークンなどが含まれます。このデータは圧縮され、transfer[.]sh を介して攻撃者に送信されます。一方、オニオン サイトへの ping により、情報窃取ステップの完了が確認されます。

情報窃取アクションを実行する 4 番目のスレッド
4 番目のスレッドがデータ盗用を実行します(Phylum)

また、リモート アクセス トロイの木馬

このスクリプトは、これも ZIP アーカイブに含まれている「cftunnel.py」を実行します。これは、被害者のマシンにCloudflare Tunnelクライアントをインストールするために使用されます。

Cloudflare Tunnel は、無料アカウントであっても、サーバーから直接 Cloudflare インフラストラクチャへの双方向トンネルを作成できるサービスです。

この接続により、ファイアウォールを構成したり、ポートを開いたり、その他のルーティングの問題に対処したりすることなく、Cloudflare を介して Web サーバーをすばやく公開することができます。

攻撃者はこのトンネルを使用して、感染したデバイス上で「Flask」スクリプトとして実行されているリモート アクセス トロイの木馬にリモート アクセスします。これは、ファイアウォールがそのデバイスを保護している場合でも同様です。

攻撃者が使用する Flask アプリ (別名「xrat」) は、被害者のユーザー名と IP アドレスを盗んだり、侵害されたマシンでシェル コマンドを実行したり、特定のファイルやディレクトリを盗み出したり、Python コードを実行したり、追加のペイロードをダウンロードして起動したりできます。

この RAT は、1 秒あたり 1 フレームの「ライブ」リモート デスクトップ フィードもサポートしており、被害者が何かを入力したり、マウスを動かしたりするとすぐにアクティブになります。

ライブ リモート アクセス
ライブ リモート フィード(門)

PyPI にアップロードされたこの新しい一連のアプリは、プラットフォーム上の脅威が進化し、より革新的で強力になっていることを証明しています。

残念ながら、パッケージを削除し、それらを PyPI にアップロードしたアカウントを禁止しても、攻撃者は新しい名前を使用して活動を再開できるため、攻撃者を止めることはできません。

さらに、アプリが PyPi から削除されたとしても、それらは感染したデバイス上に残っているため、開発者は手動で削除する必要があります。

これらの悪意のあるパッケージに感染した場合は、ウイルス対策スキャンを実行してから、頻繁にアクセスする Web サイトのすべてのパスワードを変更することを強くお勧めします。