記号数学向けの普遍的なライブラリを装った悪意ある ソフトウェアパッケージが、公式PyPIリポジトリ内で確認された。攻撃者は正規プロジェクトの説明文を綿密に複製し、マルウェアを開発版の「dev」バージョンとして提示することで、Python開発者を欺いた。この見せかけの裏には、後にLinux環境で暗号資産マイナーを起動するペイロードによってシステムを侵害しようとする計算された試みが潜んでいる。
sympy-devと名付けられたこのパッケージは1月17日に配布され、その後すでに1,100回を超えるダウンロードを獲得しており、感染が多数の本番環境にすでに入り込んでいる可能性を示唆している。本開示時点でも、このパッケージはインストール可能な状態で公開されている。SymPyライブラリの名称とドキュメントを流用することで、このマルウェアは元のプロジェクトを乗っ取り、利用者に誤った安心感を植え付けることに成功している。
Socket によるフォレンジック分析により、このライブラリがXMRigマイナーの密かなローダーとして機能していることが明らかになった。重要なのは、埋め込まれた悪意あるロジックが特定の多項式関数を呼び出した場合にのみ発火する点で、表面的なコードレビューでの検知を回避するために設計された高度な回避手法である。
改ざんされたこれらの関数は、リモートのコマンド&コントロール サーバーと通信を確立し、JSON設定ファイルとELF実行ファイルを取得する。その後、このバイナリはmemfd_createおよび/proc/self/fdの仕組みを用いて揮発性メモリから直接実行される。これは物理ディスク上にフォレンジック痕跡を残さない「ファイルレス」実行戦略である。この手法は、FritzFrogやMimoに起因するとされるものなど、過去のクリプトジャッキング・キャンペーンで観測された戦術を想起させる。
悪意あるコードの主目的は、ポート3333上のStratumプロトコルを介したCPUベースのマイニングに最適化された2つのELFバイナリを展開することであり、GPUリソースを明確に回避して中央処理装置の悪用に全面的に注力している。セキュリティ専門家は、このコンポーネントは単なるマイナーではなく任意コードを実行するための汎用的な手段でもあり、侵害されたPythonプロセスの権限のもとでさらなる権限昇格を助長し得ると強調している。
翻訳元: https://meterpreter.org/the-math-malware-how-sympy-dev-hijacked-pypi-to-mine-crypto/
