暗号資産を盗むPythonパッケージ発見、セキュリティソフトで検出できず注意

画像提供：マイナビニュース

Checkmarxは8月1日(米国時間)、「StackExchange Abused to Spread Malicious Python Package」において、Pythonパッケージリポジトリ「PyPI」から暗号資産ウォレットの窃取を目的とした悪意のある複数のPythonパッケージを発見したと報じた。この攻撃では、質疑応答プラットフォーム「StackExchange」を宣伝に悪用したことが確認されている。

なお、2024年5月にも質疑応答プラットフォーム「Stack Overflow」を宣伝に悪用した同様の攻撃が確認されている(参考：「暗号資産を窃取するマルウェアを配布するPythonパッケージに注意 | TECH+（テックプラス）」)。

○悪意のあるPythonパッケージの概要

発見された悪意のあるPythonパッケージは次の5つとされる。

spl-types
raydium
sol-structs
raydium-sdk
sol-instruct

これらパッケージのうち、raydiumは実在する分散型取引所「Raydium」と同名のパッケージ名を使用している。公式はPythonライブラリを配布しておらず、攻撃者はユーザーを容易にだませると判断し名前を悪用したものとみられる。

○マルウェアの特徴

悪意のあるPythonパッケージをインストールすると、インターネットから悪意のあるスクリプトをダウンロードしてさまざまな情報を窃取する。また、バックドアを展開し、永続性を確保してシステムを侵害する。マルウェアが窃取する情報は次のとおり。

Webブラウザのパスワード、Cookie、閲覧履歴、クレジットカード情報
Exodus、Electrum、Moneroなど人気の暗号資産ウォレットの情報
Telegram、Signal、Sessionなど人気のメッセージアプリの情報
スクリーンショット
特定のキーワードを含むファイル

○StackExchangeの悪用

今回の攻撃ではマルウェアを効果的に配布するため、StackExchangeを悪用している。攻撃者はRaydiumとSolanaに関係した開発スレッドを探し、閲覧数の多いスレッドに書き込みを行っている。Checkmarxによると、攻撃者は役に立つ内容を投稿しつつ、悪意のあるPythonパッケージの「raydium」を宣伝したという。