ロゴ画像に悪意あるプログラムを隠蔽、PyPIのパッケージで配布
マイナビニュース / 2024年5月20日 16時16分
Phylumはこのほど、「Malicious Go Binary Delivered via Steganography in PyPI」において、Pythonのパッケージリポジトリ「PyPI」から悪意のあるバイナリを画像に埋め込んで配布するパッケージ「requests-darwin-lite」を発見したと伝えた。このパッケージは通報を受けてすでに削除されているが、これまでに417回ダウンロードされたとみられている。
○悪意のあるパッケージの概要
発見された悪意のあるパッケージは、人気のパッケージ「requests」のフォークとされる。requestsはsetuptoolsの設定ファイル「setup.py」を含むが、そこにインストール処理は存在しない。対して悪意のあるパッケージには、macOSを標的とする悪意のあるインストール処理が存在する。
このインストール処理には「ioreg -d2 -c IOPlatformExpertDevice」を実行してシステムのUUID(IOPlatformUUID)を取得する処理が含まれている。このUUIDが「08383A8F-DA4B-5783-A262-4DDC93169C52」と一致する特定のデバイスのみ攻撃が実行される。つまり、この攻撃者は何らかの方法で標的デバイスのUUIDをすでに窃取しており、そのデバイスを攻撃するために悪意のあるパッケージを作成し、公開したものとみられる。
UUIDが一致する場合、悪意のあるインストール処理は画像ファイル「docs/_static/requests-sidebar-large.png」に埋め込まれたGoバイナリを抽出し、実行する。この画像ファイルはrequestsのロゴのコピーで、元の画像ファイル300KBに対して17MBのサイズがある。増加分はすべてGoバイナリとされる。
○Goバイナリの概要
最終的に抽出、実行されるGoバイナリは、オープンソースのペネトレーションテストツール「GitHub - BishopFox/sliver: Adversary Emulation Framework」(別名、Silver C2)とされる。このツールはCobalt Strikeと共通点のある比較的新しいツールとされ、その知名度の低さから検出され難いとして攻撃者に好まれる傾向にある。
○対策
悪意のあるインストール処理および画像ファイルを含むパッケージは、バージョン2.27.1および2.27.2のみとされる。その後にリリースされたバージョンからは削除されたことが確認されている。これは、標的への感染に成功するまで悪意のあるパッケージを公開し、その後削除することで発見を回避しようとしたものと推測されている。
このような攻撃を回避するために、PyPIパッケージを利用する開発者には、インストール前にパッケージの監査を実施し、悪意のあるコードが含まれていないか徹底的に調査することが推奨されている。また、パッケージの作者の信頼性、ダウンロード数、リポジトリーの作成日なども評価することが望まれている。
(後藤大地)
この記事に関連するニュース
-
暗号資産を窃取するマルウェアを配布するPythonパッケージに注意
マイナビニュース / 2024年5月31日 12時28分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
-
マインスイーパーに偽装して不正アクセスを行うサイバー攻撃に注意
マイナビニュース / 2024年5月29日 7時52分
-
人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 7時31分
-
InstagramやGoogleの公式アイコン悪用するAndroid狙うマルウェアに注意
マイナビニュース / 2024年5月13日 9時14分
ランキング
-
1「こんなに種類あるんですね」 コレクターが収集した交通系ICカードの数々に「すごい」「素敵です」
ねとらぼ / 2024年6月2日 20時45分
-
2「LUMIX S9」のストックフォト問題は何がいけなかったのか?
ITmedia NEWS / 2024年6月2日 7時20分
-
3AIの急速な導入がWindowsの予定を変えた!? Windows 12がすぐには出ない可能性
ASCII.jp / 2024年6月2日 10時0分
-
4タイヤを転がし続けて16年!? マルゼンCMが令和にバズる CM誕生のきっかけや16年継続した理由を本人に聞いた
ねとらぼ / 2024年6月1日 20時30分
-
5その「スタート」ボタン、広告かも 国民生活センターが注意喚起 意図しないサブスク契約の可能性も
ITmedia NEWS / 2024年5月31日 21時39分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください