TokyoBlackHatNews

gbhackers.com 4分で読了

TeamPCP サイバー攻撃で狙われた Microsoft DurableTask Python クライアント

継続中の TeamPCP ソフトウェア サプライチェーン キャンペーンが、Python アプリケーション内のワークフロー オーケストレーションに広く使用されている公式の Microsoft DurableTask Python クライアントを侵害しました。

PyPI 上の durabletask パッケージの 3 つのバージョン(1.4.1、1.4.2、1.4.3)が悪意のあるものとして特定され、Wiz 研究者の分析後に PyPI によって隔離されました。このインシデントは、攻撃者がクラウド環境に大規模にアクセスするために開発者エコシステムを悪用する傾向がいかに増加しているかを強調しています。

この攻撃は、@antv エコシステムに対して以前に報告された波に関連しており、同じ TeamPCP キャンペーンに結びついています。調査により、早期の攻撃に既に関与していた侵害された GitHub ユーザーアカウントが、microsoft/durabletask-python リポジトリへのアクセスも持っていたことが判明しました。

攻撃者は最近のコミット メッセージを複製し、被害者の GitHub アクセスを使用してリポジトリシークレットを抽出しました。これには、GitHub Actions シークレットに保存されている PyPI トークンが含まれています。そのトークンを使用して、PyPI 自体に侵入することなく、トロイの木馬化された durabletask バージョンを直接 PyPI に公開することができました。

Microsoft DurableTask Python クライアントが狙われた

ペイロードは、guardrails-ai パッケージに対して以前に展開されたマルウェアの進化形であり、クラウド認証情報の盗難と横方向移動のための追加機能があります。侵害された durabletask パッケージでは、悪意のあるコードは rope.pyz ペイロード経由で配信され、__init__.py、task.py、および複数のパッケージサブモジュールなどのファイルに注入されます。

Linux システムで実行されると、マルウェアは AWS、Azure、GCP、Kubernetes、Vault、ローカル ファイル、および保存されたパスワードから認証情報をターゲットにし、その後利用可能なアクセスを使用してさらに伝播しようとします(Wiz による報告)。

Image

ワーム型コンポーネントは、AWS Systems Manager(SSM)と Kubernetes を使用して、感染した各ホストごとに最大 5 つの追加ターゲットに拡散します。また、環境変数とシェル履歴から収集されたパスワードを使用して Bitwarden、1Password、および GPG をブルートフォース攻撃で解除しようとし、.bash_history や .zsh_history などの履歴ファイルをスクレイピングして機密データを収集します。

コマンド・アンド・コントロール(C2)トラフィックは check.git-service.com などのドメインに向けられ、t.m-kosche.com でバックアップインフラを備えており、~/.cache/.sys-update-check の感染マーカー ファイルを使用して侵害されたシステムを追跡します。

セキュリティ チームは、依存関係ファイルと CI ログを直ちにスキャンして、durabletask バージョン 1.4.1、1.4.2、または 1.4.3 の使用を確認することをお勧めします。Linux システムでは、ディフェンダーは /tmp/managed.pyz、/tmp/rope-*.pyz、~/.cache/.sys-update-check 配下の感染マーカー、および疑わしい python3 /tmp/managed.pyz プロセスなどのアーティファクトを検索する必要があります。

露出が疑われる場合は、AWS IAM、Azure、GCP サービス アカウント、Kubernetes および Vault トークン、ならびに Bitwarden、1Password、および同様のツールに保存されているパスワードを含む、すべてのクラウドおよびアプリケーション認証情報をローテーションする必要があります。シェル履歴が流出する可能性があると仮定します。

追加のステップには、AWS CloudTrail を監査して異常な SSM アクティビティを確認し、Kubernetes 監査ログをレビューして予期しない kubectl exec 操作を確認し、パスワード マネージャー CLI の使用を確認し、ネットワーク層で C2 ドメインと特定の流出経路をブロックすることが含まれます。

長期的には、専門家は GitHub Actions セキュリティを強化し、より強力なパッケージ セキュリティ実践を採用して、将来のサプライチェーン攻撃の影響範囲を減らすことをお勧めします。

翻訳元: https://gbhackers.com/microsoft-durabletask-python-client-targeted-teampcp/

ソース: gbhackers.com
#GitHub #Microsoft DurableTask #PyPI #Python #TeamPCP #クラウド認証情報盗難 #サプライチェーン攻撃 #マルウェア #供給チェーンセキュリティ #横方向移動

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚