Python Package Index (PyPI) の運営者によると、ユーザーデータ、パスワード、Discordアクセストークンの収集と盗用、感染したシステムへのリモートアクセス用シェルのインストールなど様々な悪意のある動作を行った11個のPythonライブラリをポータルから削除したとのことです。
Malicious packages in PyPI use stealthy exfiltration methods
Software supply chain security threat: automated scanning of Python packages in the PyPI repository uncovered stealthy malware and more. Find out about our late...
jfrog.com
この悪意のあるライブラリを発見したDevOpsプラットフォームであるJFrogのセキュリティチームによると、パッケージが発見されるまでに、11個のパッケージが3万回以上ダウンロードされ、インストールされていたとのことです。
また、これらのパッケージは同じ作者によって開発されたものではないようで、それぞれのパッケージには、以下の表に示すように、感染したシステムからデータを搾取するためのわずかに異なる動作や方法が含まれていました。
| Package | # of downloads | Automated detection indicators | Description |
|---|---|---|---|
| importantpackage important-package | 6305 12897 | 難読化された入力によるシェルプロセス | trevorc2クライアントを使用した、psec.forward.io.global.prod.fastly.netへの隠れたコネクトバックシェル |
| pptest | 10001 | 疑わしいバージョン | DNSを使用してホスト名を送信+’|’+os.getcwd()+’|’+str(self.get_wan_ip())+’|’+local_ip_str |
| ipboards | 946 | センシティブなファイル操作 | 依存関係の混乱により、ユーザー情報(ユーザー名、ホスト名)をDNSトンネリングでb0a0374cd1cb4305002e.d.requestbin.netに送信する。 |
| owlmoon | 3285 | 難読化された入力でのeval | Discordのトークンを盗むトロイの木馬。https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR にトークンを送信します。 |
| DiscordSafety | 557 | 難読化された入力でのexec | Discordのトークンを盗むトロイの木馬。https://tornadodomain.000webhostapp.com/stlr.php?token= にトークンを送信します。 |
| trrfab | 287 | センシティブなファイル操作 | 依存関係の混乱、ユーザー情報(ID、ホスト名、/etc/passwd、/etc/hosts、/home)をyxznlysc47wvrb9r9z211e1jbah15q.burpcollaborator.netに送信する。 |
| 10Cent10 10Cent11 | 490 490 | シェルの不審なバージョン | ハードコードされたアドレス104.248.19.57へのコネクトバックシェル |
| yandex-yt | 4183 | 疑わしいバージョン | pwnedメッセージを表示し、https://nda.ya.ru/t/iHLfdCYw3jCVQZ、悪意のあるドメインである可能性があります(現在は非アクティブのようです)。 |
| yiffparty | 1859 | 難読化された入力でのeval | Discordのトークンを盗むトロイの木馬。https://discord.com/api/webhooks/875931932360331294/wA0rLs3xX_2JgqlfqEfpYoL9zer_Qs7hpsMbwaDl6-UByE_ZRHiXm0t1lr-o_3RFBqBR にトークンを送信します。 |
上の表から明らかなように、11個のパッケージのうち10個は明らかに悪意のあるものでした。「yandex-yt」と名付けられた1つのパッケージは、簡単にマルウェアの配信経路になり得るものです。
これは、攻撃者が閉域企業ネットワーク内で使用されている可能性のある名前のパッケージを登録し、企業パッケージが削除されて依存関係ツリーが更新されなかったときに、公開パッケージが引き抜かれることを先回りする手法です。
JFrogの研究者は、今回発見した11個の悪意のあるPyPIパッケージについて、それぞれ詳細な分析結果を発表しています。
Comments