暗号資産を窃取するマルウェアを配布するPythonパッケージに注意
マイナビニュース / 2024年5月31日 12時28分
Sonatypeは5月29日(米国時間)、「PyPI crypto-stealer targets Windows users, revives malware campaign」において、Pythonパッケージリポジトリ「PyPI」から暗号資産の窃取が可能なWindows向けマルウェアを配布する悪意のあるパッケージ「pytoileur」を発見したと報じた。この攻撃では、質疑応答プラットフォーム「Stack Overflow」を宣伝に悪用したことが確認されている。
○悪意のあるパッケージ「pytoileur」の概要
悪意のあるパッケージ「pytoileur」は、Pythonで記述されたAPI(Application Programming Interface)の管理ツールとして配布されている。本稿執筆時点ではPyPIから削除されておらず、これまでに316回ダウンロードされている。
悪意のあるコードはパッケージのsetup.pyに含まれており、非常に長い17行目にコードが隠されている。このコードはリモートから悪意のある実行可能ファイル「runtime.exe」をダウンロードして実行する。
runtime.exeにはさまざまな分析妨害機能と検出防止機能が含まれており、実行すると永続性を確保して複数のマルウェアを展開する。その中にはトロイの木馬や情報窃取機能を持つ暗号資産マイナーを含むことが確認されている。
○Stack Overflowの悪用
Sonatypeの調査によると、この攻撃者はStack Overflowにアカウント「EstAYA G」を作成し、質問とは無関係な複数の回答を投稿したという。この回答はpytoileurを使用するサンプルコードのみで、必要な説明がないとされる。現在、「EstAYA G」アカウントはStack Overflowにより一時停止処分となっている。
○影響と対策
マルウェア「pytoileur」はPyPIに掲載したパッケージの説明文にて、過去に発見された悪意のあるパッケージ「pystob」の解説をしている。これは、過去に使用した説明文を流用した際に変更し忘れたものとみられ、同一の攻撃者による新しい攻撃と推測されている(参考:「悪意のあるPythonパッケージ27種を確認、日本も被害の可能性 | TECH+(テックプラス)」)。
Pythonを使用する開発者には、善意と思われる投稿やメッセージを鵜呑みにせず、パッケージを利用する際に監査を実施し、コードに不審な点がないか徹底的に調査してから利用することが推奨されている。また、パッケージから参照される外部パッケージに悪意のあるコードが含まれていることがあるため、関連するパッケージすべてを監査することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
Pythonパッケージ「crytic-compilers」にマルウェア、暗号資産狙う
マイナビニュース / 2024年6月11日 10時47分
-
Malwarebytes偽る詐欺師に注意、偽Webサイトや偽サポートを確認
マイナビニュース / 2024年6月4日 10時26分
-
exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 7時31分
ランキング
-
1消えたキーマン──「新プロジェクトX」のスパコン「京」回が批判を受けた理由 富士通とNHKの見解は?
ITmedia NEWS / 2024年6月22日 8時20分
-
2電話番号が“汚れている”とは 契約したばかりのスマホに不審な電話がかかってくる理由
ITmedia NEWS / 2024年6月24日 11時11分
-
3作者の不祥事と作品は分けて考えるべき? ゲームからの楽曲削除でマンガ家が感じたこと
ITmedia NEWS / 2024年6月23日 12時20分
-
4久しぶりに「投資の詐欺広告」に釣られて前との違いを確認→まさかの退会者呼び戻しが行われてた
おたくま経済新聞 / 2024年6月24日 16時47分
-
5「死ぬほど笑ったw」 “ほろよい”限定デザイン → 人気ゲームの“例のロゴ”に見えると話題に まさかの公式も反応「ほろよい うま」
ねとらぼ / 2024年6月23日 20時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)