攻撃者は引き続き偽の Python パッケージを作成し、初歩的な難読化技術を使用して開発者のシステムに W4SP Stealer を感染させようとします。WXNUMXSP Stealer は、暗号通貨の情報を盗み、機密データを盗み出し、開発者のシステムから認証情報を収集するように設計されたトロイの木馬です。
ソフトウェア サプライ チェーン企業の Phylum が今週公開したアドバイザリによると、攻撃者が Python Package Index (PyPI) で人気のあるソフトウェア パッケージの 29 のクローンを作成し、無害な名前を付けたり、正当なパッケージに似た名前を意図的に付けたりしています。タイポスクワッティングと呼ばれる行為。 開発者が悪意のあるパッケージをダウンロードしてロードすると、セットアップ スクリプトは、いくつかの難読化された手順を経て、W4SP Stealer トロイの木馬もインストールします。 研究者によると、これらのパッケージは 5,700 回のダウンロードを占めています。
W4SP Stealer は暗号通貨のウォレットと金融口座を標的にしていますが、現在のキャンペーンの最も重要な目的は開発者の秘密であると思われる、と Phylum の共同創設者兼 CTO である Louis Lang は述べています。
「これは、私たちが見慣れているメール フィッシング キャンペーンと同じですが、今回の攻撃者は開発者だけを標的にしています」と彼は言います。 「開発者が王冠の宝石にアクセスできることが多いことを考えると、攻撃が成功すると、組織にとって壊滅的な打撃を受ける可能性があります。」
未知のアクターまたはグループによる PyPI への攻撃は、ソフトウェア サプライ チェーンを標的とする最新の脅威にすぎません。 PyPI やノード パッケージ マネージャー (npm) などのリポジトリ サービスを通じて配布されるオープン ソース ソフトウェア コンポーネントは、一般的な攻撃ベクトルです。 ソフトウェアにインポートされる依存関係の数は劇的に増加しました. 攻撃者はエコシステムを利用して、不注意な開発者のシステムにマルウェアを配布しようとします。 Ruby Gems エコシステムに対する 2020 年の攻撃 そして攻撃 Docker Hub イメージ エコシステム. そして XNUMX 月には、Check Point Software Technologies のセキュリティ研究者が 10 個の PyPI パッケージが見つかりました 情報を盗むマルウェアを投下しました。
この最新のキャンペーンでは、「これらのパッケージは、W4SP Stealer を Python 開発者のマシンに配信するためのより洗練された試みです」と Phylum の研究者は述べています。 彼らの分析で述べられている、さらに次のように付け加えています。
PyPI 攻撃は「数字ゲーム」です
この攻撃は、一般的なパッケージの名前を誤って入力したり、ソフトウェアのソースを十分に調べずに新しいパッケージを使用したりする開発者を利用します。 「typesutil」という名前の悪意のあるパッケージの 2 つは、人気のある Python パッケージ「datetimeXNUMX」にいくつかの変更を加えた単なるコピーです。
当初、悪意のあるソフトウェアをインポートしたプログラムは、Python が依存関係をロードするセットアップ フェーズ中にコマンドを実行してマルウェアをダウンロードしました。 ただし、PyPI には特定のチェックが実装されているため、攻撃者は空白を使用して、ほとんどのコード エディターの通常の表示範囲外に疑わしいコマンドをプッシュし始めました。
「攻撃者は戦術をわずかに変更し、インポートを明白な場所にダンプするだけでなく、画面の外に配置し、Python ではめったに使用されないセミコロンを利用して、悪意のあるコードを他の正当なコードと同じ行に忍び込ませました」と Phylum は述べています。その分析で。
タイポスクワッティングは忠実度の低い攻撃であり、成功することはめったにありませんが、潜在的な報酬と比較して、攻撃者のコストはほとんどないと Phylum の Lang は述べています。
「これらの悪意のあるパッケージで毎日パッケージのエコシステムを汚染している攻撃者との数字のゲームです」と彼は言います。 「不幸な現実は、これらの悪意のあるパッケージの XNUMX つを展開するためのコストが、潜在的な見返りに比べて非常に低いことです。」
刺すような W4SP
攻撃の最終的な目標は、「情報を盗むトロイの木馬 W4SP Stealer をインストールすることです。WXNUMXSP Stealer は、被害者のシステムを列挙し、ブラウザに保存されたパスワードを盗み、暗号通貨のウォレットを標的にし、「bank」や「secret」などのキーワードを使用して興味深いファイルを検索します。 」とラングは言います。
「暗号通貨や銀行情報を盗むことによる明白な金銭的報酬は別として、攻撃者は盗んだ情報の一部を使用して、重要なインフラストラクチャまたは追加の開発者資格情報へのアクセスを提供することで攻撃を促進する可能性があります」と彼は言います.
Phylum は、攻撃者の特定に一定の成果を上げており、インフラストラクチャが使用されている企業にレポートを送信しています。
