PyPI、悪意のあるライブラリ8つを削除:Discordのトークンとクレジットカード番号を盗むPythonパッケージ

news

Pythonコンポーネントの公式レポジトリであるPython Package Index (PyPI)の運営者は、悪意のあるコードを含む8つのライブラリを削除しました。

JFrogセキュリティチーム(旧VDOO)によって発見されたこの8つのパッケージは、実行された悪意のある操作によって2つのカテゴリーに分類されます。

8つのうち2つは、感染したホストがTCPポート9009で攻撃者のIPアドレスに接続し、このサーバーが提供する悪意のあるPythonコードを実行することで、リモート攻撃者が被害者のデバイス上で悪意のあるコマンドを実行することを可能にします。

RCE を許可するPyPIパッケージ: pytagora, pytagora2 (leonora123 というユーザーがアップロード)

他の6つのPyPIパッケージは、主に情報搾取機能を保有しています。これらのパッケージは、開発者のコンピュータにインストールされると、一般的なシステム情報、Discordトークン(所定のディスク位置から取得)、クレジットカード情報(Google、Opera、Brave、Yandexなどのローカルにインストールされたブラウザから取得)を中心に、感染したホストからデータを収集します

情報搾取Pythonパッケージ:noblesse、genesisbot、are、suffer、noblesse2、noblessev2(最初の3つはユーザーxin1111が開発し、最後の3つはユーザー sufferが開発しました)

JFrogチームによると、PyPIポータルから削除されるまでに、8つのライブラリは3万件以上ダウンロードされていたとのことです。

各ライブラリの詳細な技術レポートは、Jフロッグのブログで公開されています。

Python developers are being targeted with malicious packages on PyPI
JFrog finds a new supply chain attack targeting python developers using the PyPI repository
jfrog.com

ソフトウェアパッケージのリポジトリは、サプライチェーン攻撃の標的として注目されています。最近では、npm、PyPI、RubyGemsなどの人気リポジトリに対するマルウェアの攻撃に関するニュースがありました。

開発者はリポジトリを盲目的に信頼し、安全であると仮定して、これらのソースからパッケージをインストールしています。

時には、マルウェアパッケージのパッケージリポジトリへのアップロードが許可されてしまうこともあり、攻撃者はリポジトリを利用してウイルスを配布し、開発者とCI/CDマシンの両方のパイプラインに攻撃を仕掛けることに成功します。

悪意のあるパッケージは、他の多くのプログラミング言語の公式リポジトリと同様に、定期的にPyPIの公式リポジトリに登場します。

例えば、セキュリティ研究者はこれまでに、Linuxシステムを標的とした隠れたバックドアを含む悪意のあるPyPIパッケージ、感染したホスト上でリバースシェルを開くPyPIパッケージ、SSHやGPGの鍵を盗むPyPIパッケージを発見しています。

さらに、Discordトークンは、少なくとも2回、npm(JavaScript)リポジトリでのインシデントのターゲットとなっていました。

これらの悪意のあるライブラリは、不正取引に利用される可能性のある決済カード情報を収集している可能性があるため、被害者にとっては特に注意すべきです。

Discordトークンの失効やSSHキーの変更は可能ですが、不正取引や決済カードの解約・変更は、はるかに時間と手間がかかるため、多くの被害者が先手を打って対処する必要があります。

何をすべきか?影響を受けた開発者へのアドバイス

PyPI の依存関係を確認した後、noblesse(またはそのクローン)がローカルにインストールされていることを確認した場合、以下の項目の実行を推奨しています。

Edgeのパスワード漏洩確認

Edgeで保存されているパスワードを確認し、それぞれのWebサイト(およびこれらのパスワードが再利用されているWebサイト)でこれらの漏洩したパスワードを変更してください。

保存されているパスワード(漏洩した可能性のあるもの)の全リストは、「Saved passwords」で確認できます。

Chromeのクレジットカード情報漏洩確認

Chromeに保存されているクレジットカードを確認し、これらのクレジットカードの解約を検討する。

この確認は、Chromeを開き、chrome://settings/paymentsに移動することで行うことができます。

Chrome を起動し、chrome://settings/payments に移動することで、保存されているクレジットカード(不正アクセスの可能性があるもの)の全リストを確認することができます。

アンチウイルスソフトウェアでフルスキャン

pytagora(またはそのクローン)がローカルにインストールされていることを確認した場合、マルウェアに感染している可能性は低いものの、インストールされているアンチウイルスソフトウェアでフルスキャンを実行するなど、通常のマルウェアチェックを行うことをお勧めします。

Comments

Copied title and URL