2025年9月18日Ravie Lakshmananマルウェア / サプライチェーン攻撃
サイバーセキュリティ研究者は、Python Package Index(PyPI)リポジトリで、WindowsシステムにSilentSyncと呼ばれるリモートアクセス型トロイの木馬(RAT)を配布するよう設計された2つの新たな悪意あるパッケージを発見しました。
「SilentSyncはリモートコマンド実行、ファイルの持ち出し、画面キャプチャが可能です」とZscaler ThreatLabzのManisha Ramcharan Prajapati氏とSatyam Singh氏は述べています。「SilentSyncはまた、Chrome、Brave、Edge、Firefoxなどのウェブブラウザから認証情報、履歴、自動入力データ、Cookieなどのデータを抽出します。」
これらのパッケージは現在PyPIからダウンロードできなくなっていますが、以下の通りです。どちらも「CondeTGAPIS」というユーザーによってアップロードされていました。
- sisaws(201ダウンロード)
- secmeasure(627ダウンロード)
Zscalerによると、sisawsパッケージは、アルゼンチンの国立健康情報システム「Sistema Integrado de Información Sanitaria Argentino(SISA)」に関連する正規のPythonパッケージsisaの動作を模倣しています。
しかし、このライブラリには「gen_token()」という関数が初期化スクリプト(__init__.py)内に存在し、次の段階のマルウェアをダウンロードする役割を果たします。これを実現するために、ハードコードされたトークンを入力として送信し、正規のSISA APIと同様の方法で二次的な静的トークンを受け取ります。
「開発者がsisawsパッケージをインポートし、gen_token関数を呼び出すと、コードは16進文字列をデコードし、curlコマンドが現れます。これにより追加のPythonスクリプトが取得されます」とZscalerは述べています。「PasteBinから取得されたPythonスクリプトは、一時ディレクトリ内のhelper.pyというファイル名で書き込まれ、実行されます。」
secmeasureも同様に、「文字列のクリーニングとセキュリティ対策を適用するライブラリ」と偽装していますが、内部にはSilentSync RATを設置する機能が埋め込まれています。
SilentSyncは現段階では主にWindowsシステムへの感染を目的としていますが、LinuxやmacOSにも対応した機能を備えており、Windowsではレジストリの変更、Linuxではcrontabファイルを変更してシステム起動時にペイロードを実行、macOSではLaunchAgentへの登録を行います。
このパッケージは、二次トークンの存在を利用してハードコードされたエンドポイント(「200.58.107[.]25」)にHTTP GETリクエストを送信し、メモリ上で直接実行されるPythonコードを受信します。サーバーは4つの異なるエンドポイントをサポートしています。
- /checkin:接続性の確認
- /comando:実行するコマンドの要求
- /respuesta:ステータスメッセージの送信
- /archivo:コマンドの出力や盗まれたデータの送信
このマルウェアは、ブラウザデータの収集、シェルコマンドの実行、スクリーンショットの取得、ファイルの窃取が可能です。また、ファイルやディレクトリ全体をZIPアーカイブとして持ち出すこともできます。データ送信後は、すべての痕跡がホストから削除され、検出を回避します。
「悪意あるPyPIパッケージsisawsおよびsecmeasureの発見は、公開ソフトウェアリポジトリにおけるサプライチェーン攻撃のリスクが高まっていることを浮き彫りにしています」とZscalerは述べています。「タイポスクワッティングや正規パッケージのなりすましを利用することで、攻撃者は個人を特定できる情報(PII)にアクセスすることができます。」
翻訳元: https://thehackernews.com/2025/09/silentsync-rat-delivered-via-two.html