サイバーセキュリティ研究者は、Python Package Index(PyPI)リポジトリにおいて、開発者関連の機密情報(資格情報、設定データ、環境変数など)を収集することができる悪意のあるパッケージを発見しました。
chimera-sandbox-extensionsという名前のこのパッケージは、143回ダウンロードされ、昨年8月にシンガポールのテクノロジー企業GrabによってリリースされたサービスであるChimera Sandboxのユーザーを対象としている可能性があります。このサービスは「[機械学習]ソリューションの実験と開発」を促進するためのものです。
このパッケージはChimera Sandboxのヘルパーモジュールを装っていますが、「資格情報やその他の機密情報(Jamf設定、CI/CD環境変数、AWSトークンなど)を盗むことを目的としています」とJFrogのセキュリティ研究者Guy Korolevskiは先週発表したレポートで述べています。
インストールされると、次の段階のペイロードをダウンロードして実行するために、ドメイン生成アルゴリズム(DGA)を使用して生成された外部ドメインに接続しようとします。
具体的には、マルウェアはドメインから認証トークンを取得し、それを使用して同じドメインにリクエストを送り、Pythonベースの情報スティーラーを取得します。
スティーラーマルウェアは感染したマシンから幅広いデータを吸い上げる機能を備えています。これには以下が含まれます –
- Jamf Proが管理するコンピュータにインストールされたソフトウェアパッケージの記録であるJAMFレシート
- Podサンドボックス環境の認証トークンとgit情報
- 環境変数からのCI/CD情報
- Zscalerホスト設定
- Amazon Web Servicesアカウント情報とトークン
- パブリックIPアドレス
- 一般的なプラットフォーム、ユーザー、ホスト情報
マルウェアによって収集されたデータの種類は、主に企業やクラウドインフラを対象としていることを示しています。さらに、JAMFレシートの抽出は、Apple macOSシステムをターゲットにすることも可能であることを示しています。
収集された情報はPOSTリクエストを介して同じドメインに送信され、その後サーバーはマシンがさらなる搾取に値するターゲットであるかどうかを評価します。しかし、JFrogは分析時にペイロードを取得することができませんでした。
“このマルウェアが採用したターゲットアプローチと、その複雑なマルチステージのターゲットペイロードは、これまでに遭遇したより一般的なオープンソースのマルウェア脅威とは一線を画し、最近の悪意のあるパッケージの進化を示しています。”とJFrogセキュリティ研究チームの脅威研究ディレクターであるJonathan Sar Shalomは述べています。
“この新しいマルウェアの高度化は、開発チームが更新に警戒を怠らず、積極的なセキュリティ研究とともに、新たな脅威に対抗し、ソフトウェアの整合性を維持する理由を浮き彫りにしています。”
この開示は、SafeDepとVeracodeが、リモートコードを実行し、追加のペイロードをダウンロードするように設計されたマルウェアが混入したいくつかのnpmパッケージを詳細に説明した報告と一致しています。問題のパッケージは以下の通りです –
- eslint-config-airbnb-compat(676ダウンロード)
- ts-runtime-compat-check(1,588ダウンロード)
- solders(983ダウンロード)
- @mediawave/lib(386ダウンロード)
特定されたすべてのnpmパッケージは、npmから削除されましたが、パッケージレジストリから数百回ダウンロードされる前に削除されました。
SafeDepのeslint-config-airbnb-compatの分析では、JavaScriptライブラリがts-runtime-compat-checkを依存関係としてリストしており、それが前者のパッケージで定義された外部サーバー(”proxy.eslint-proxy[.]site”)に接続してBase64エンコードされた文字列を取得して実行することが判明しました。ペイロードの正確な性質は不明です。
“それは、悪意のあるコードを隠すために推移的な依存関係を使用して、マルチステージのリモートコード実行攻撃を実装しています。”とSafeDepの研究者Kunal Singhは述べています。
一方、soldersは、package.jsonにポストインストールスクリプトを組み込んでおり、パッケージがインストールされるとすぐに悪意のあるコードが自動的に実行されることが判明しました。
“一見すると、これは実際に有効なJavaScriptであるとは信じがたいです。”とVeracodeの脅威研究チームは述べています。”それは一見するとランダムに見える日本語のシンボルの集合のように見えます。この特定の難読化スキームは、Unicode文字を変数名として使用し、動的コード生成の洗練されたチェーンを利用して動作します。”
スクリプトをデコードすると、さらに難読化された層が明らかになり、それを解くとその主な機能が明らかになります:侵害されたマシンがWindowsであるかどうかを確認し、そうであれば、リモートサーバー(”firewall[.]tel”)から次の段階のペイロードを取得するためのPowerShellコマンドを実行します。
この第二段階のPowerShellスクリプトもまた難読化されており、別のドメイン(”cdn.audiowave[.]org”)からWindowsバッチスクリプトを取得し、Windows Defender Antivirusの除外リストを設定して検出を回避します。バッチスクリプトはその後、ImgBB(”i.ibb[.]co”)にホストされているPNG画像にアクセスする.NET DLLの実行を可能にします。
“[DLL]はこの画像の最後の2ピクセルを取得し、それに含まれる他のデータをループして処理しています。”とVeracodeは述べています。”最終的には、メモリ内でさらに別の.NET DLLを構築します。”
さらに、DLLはタスクスケジューラのエントリを作成し、ユーザーアカウント制御をバイパスする(UAC)機能を備えており、FodHelper.exeとプログラム識別子(ProgIDs)の組み合わせを使用して防御を回避し、ユーザーに対するセキュリティアラートを発生させないようにしています。
新たにダウンロードされたDLLは、Pulsar RATであり、”無料のオープンソースのWindows用リモート管理ツール”であり、Quasar RATのバリアントです。
“日本語の文字の壁からPNGファイルのピクセル内に隠されたRATまで、攻撃者はペイロードを隠すために非常に多くの手間をかけ、検出を回避するために何層にも重ねて隠しました。”とVeracodeは述べています。”攻撃者がPulsar RATを展開する最終的な目的は不明ですが、この配信メカニズムの複雑さは悪意のある意図の強力な指標です。”
オープンソースサプライチェーンにおける暗号マルウェア#
この発見は、Socketからの報告とも一致しており、暗号通貨とブロックチェーン開発エコシステムをターゲットにした主な脅威として、資格情報スティーラー、暗号通貨ドレイナー、クリプトジャッカー、クリッパーが特定されています。
これらのパッケージの例には以下が含まれます –
- ブラウザの資格情報や暗号通貨ウォレットキーを収集することができるexpress-dompurifyとpumptoolforvolumeandcomment
- 被害者のウォレットを排出し、マルチホップ転送を使用して盗難を隠し、法医学的追跡を困難にするbs58js
- システムクリップボードを監視して暗号通貨ウォレットの文字列を攻撃者が制御するアドレスに置き換え、トランザクションを攻撃者にリルートするクリッパーとして機能するlsjglsjdv、asyncaiosignal、raydium-sdk-liquidity-init
“Web3開発が主流のソフトウェアエンジニアリングと融合するにつれて、ブロックチェーンに焦点を当てたプロジェクトの攻撃面は規模と複雑さの両方で拡大しています。”とSocketのセキュリティ研究者Kirill Boychenkoは述べています。
“金銭的動機を持つ脅威アクターや国家支援グループは、ソフトウェアサプライチェーンの体系的な弱点を悪用するために戦術を急速に進化させています。これらのキャンペーンは反復的で持続的であり、ますます高価値のターゲットに合わせて調整されています。”
AIとスロップスクワッティング#
人工知能(AI)支援のコーディング、いわゆるバイブコーディングの台頭は、スロップスクワッティングという新たな脅威を生み出しました。これは、大規模言語モデル(LLM)が存在しないがもっともらしいパッケージ名を幻覚し、悪意のあるアクターがそれを武器にしてサプライチェーン攻撃を行うことができるものです。
Trend Microは先週のレポートで、名前のない高度なエージェントが「自信を持って」starlette-reverse-proxyという架空のPythonパッケージを作成したが、ビルドプロセスが「モジュールが見つかりません」というエラーでクラッシュしたと述べています。しかし、対戦相手が同じ名前のパッケージをリポジトリにアップロードした場合、深刻なセキュリティ上の影響を及ぼす可能性があります。
さらに、サイバーセキュリティ企業は、Claude Code CLI、OpenAI Codex CLI、Cursor AI with Model Context Protocol(MCP)による検証などの高度なコーディングエージェントとワークフローが、スロップスクワッティングのリスクを完全に排除することはできないが、減少させるのに役立つと指摘しています。
“エージェントが依存関係を幻覚したり、未確認のパッケージをインストールしたりすると、悪意のあるアクターが同じ幻覚した名前を公開レジストリに事前登録するスロップスクワッティング攻撃の機会を作り出します。”とセキュリティ研究者Sean Parkは述べています。
“推論強化エージェントは、幻覚提案の率を約半分に減少させることができますが、それを完全に排除することはできません。ライブMCP検証で強化されたバイブコーディングワークフローでも、スリップスルーの最低率を達成しますが、エッジケースを見逃すことがあります。”
翻訳元: https://thehackernews.com/2025/06/malicious-pypi-package-masquerades-as.html