暗号資産を盗むPythonパッケージ発見、セキュリティソフトで検出できず注意
マイナビニュース / 2024年8月5日 17時59分
Checkmarxは8月1日(米国時間)、「StackExchange Abused to Spread Malicious Python Package」において、Pythonパッケージリポジトリ「PyPI」から暗号資産ウォレットの窃取を目的とした悪意のある複数のPythonパッケージを発見したと報じた。この攻撃では、質疑応答プラットフォーム「StackExchange」を宣伝に悪用したことが確認されている。
なお、2024年5月にも質疑応答プラットフォーム「Stack Overflow」を宣伝に悪用した同様の攻撃が確認されている(参考:「暗号資産を窃取するマルウェアを配布するPythonパッケージに注意 | TECH+(テックプラス)」)。
○悪意のあるPythonパッケージの概要
発見された悪意のあるPythonパッケージは次の5つとされる。
spl-types
raydium
sol-structs
raydium-sdk
sol-instruct
これらパッケージのうち、raydiumは実在する分散型取引所「Raydium」と同名のパッケージ名を使用している。公式はPythonライブラリを配布しておらず、攻撃者はユーザーを容易にだませると判断し名前を悪用したものとみられる。
○マルウェアの特徴
悪意のあるPythonパッケージをインストールすると、インターネットから悪意のあるスクリプトをダウンロードしてさまざまな情報を窃取する。また、バックドアを展開し、永続性を確保してシステムを侵害する。マルウェアが窃取する情報は次のとおり。
Webブラウザのパスワード、Cookie、閲覧履歴、クレジットカード情報
Exodus、Electrum、Moneroなど人気の暗号資産ウォレットの情報
Telegram、Signal、Sessionなど人気のメッセージアプリの情報
スクリーンショット
特定のキーワードを含むファイル
○StackExchangeの悪用
今回の攻撃ではマルウェアを効果的に配布するため、StackExchangeを悪用している。攻撃者はRaydiumとSolanaに関係した開発スレッドを探し、閲覧数の多いスレッドに書き込みを行っている。Checkmarxによると、攻撃者は役に立つ内容を投稿しつつ、悪意のあるPythonパッケージの「raydium」を宣伝したという。
-
- 1
- 2
この記事に関連するニュース
-
Mac狙うPythonパッケージ、Google Cloudの認証情報を窃取
マイナビニュース / 2024年7月29日 11時53分
-
「Internet Explorer」に新たなゼロデイ脆弱性が見つかり、攻撃者に悪用されていた
ASCII.jp / 2024年7月23日 16時30分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 LockBit3の衰退によって、活発なランサムウェアグループ「RansomHub」が首位に
PR TIMES / 2024年7月19日 11時10分
-
偽のビデオ会議アプリでMacユーザー狙う、北朝鮮の脅威者に警戒を
マイナビニュース / 2024年7月18日 16時56分
-
WindowsのゲームやAIソフト偽る広告に注意、ブラウザから認証情報窃取の恐れ
マイナビニュース / 2024年7月18日 8時20分
ランキング
-
1「こんな普通に電車にいらっしゃるんですね!」 梨花、ほぼ変装ゼロで電車に乗る姿に驚がくの声
ねとらぼ / 2024年8月5日 16時6分
-
2ニコニコ動画、約2カ月ぶりにサービス再開 新バージョンは「帰ってきたニコニコ」
ねとらぼ / 2024年8月5日 15時44分
-
3これは一体……? おつりでもらった“見たことのない500円玉”に「初めて見た!」「かっこええ」
ねとらぼ / 2024年8月5日 7時30分
-
4野鳥観察に出かけた日、熱中症で倒れ込んだら…… ふと見上げた“空の光景”に驚きの声「ロックオンされた?」「すごい体験」
ねとらぼ / 2024年8月5日 11時0分
-
5au/UQ mobile、請求書関連の手数料を10月から順次値上げ
マイナビニュース / 2024年8月5日 16時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください