暗号資産ウォレットのデータを盗むよう設計された「aiocpa」と呼ばれる悪意のあるPython Package Index(PyPI)パッケージが、セキュリティ研究者によって発見されました。
このパッケージは正規の暗号資産クライアントツールを装いながら、密かに機密情報をTelegramボットへ送信していました。Reversing Labsの研究者がこの脅威を特定して報告し、その結果、PyPIから削除されました。
11月21日に発見されたaiocpaは、当初は無害だったツールに本物らしい更新を公開することで、従来のセキュリティチェックを回避しました。utils/sync.pyファイル内の難読化コードから、CryptoPayの初期化関数をラップする仕組みが明らかになり、トークンやその他の機密データを抽出するよう設計されていました。
さらに分析したところ、このコードは悪意の意図を隠すために、Base64エンコードとzlib圧縮を何層にも重ねて使用していました。
オープンソースリポジトリを狙う多くの攻撃とは異なり、aiocpaの作成者はなりすましの手口を避けました。代わりに、パッケージを正規のツールとして提示することでユーザーベースを構築していました。
「パッケージのプロジェクトページを一見しただけでは、疑う理由は何も見当たりませんでした。2024年9月以降に複数のバージョンが公開されている、よくメンテナンスされたcrypto-pay APIクライアントパッケージのように見えました。また、整理されたドキュメントページもありました」とReversing Labsは説明しています。
研究者らはまた、既存のPyPIプロジェクト「pay」を乗っ取り、確立されたユーザーベースを悪用しようとする試みがあったことも指摘しました。
開発者への教訓
Reversing Labsはさらに、aiocpaの事案は開発者がソフトウェアを保護するために取るべき重要な手順を浮き彫りにしていると警告しました。
-
予期しない更新を防ぐため、依存関係とバージョンを固定する
-
ハッシュチェックを使用してパッケージの整合性を検証する
-
行動分析ツールを用いて高度なセキュリティ評価を実施する
ソフトウェア供給網の脅威について詳しく読む:CISA、米国のソフトウェアサプライチェーン透明性の改善を要請
「この事案は、オープンソースソフトウェアのセキュリティ脅威が増大し、検知がより困難になっていることを明確に思い起こさせるものです」とReversing Labsは述べました。
同社はまた、脅威アクターが悪意ある作成物を隠すために用いた手法により、パッケージの品質と整合性を評価しようとする入念な試みがあったとしても、サプライチェーン上の脅威を特定することが困難になったと述べています。
「脅威アクターの巧妙化が進み、現代のソフトウェアサプライチェーンが複雑化する中で、これらの脅威を防ぎ、関連リスクを軽減するために、専用ツールを開発プロセスに組み込む必要があります。」
翻訳元: https://www.infosecurity-magazine.com/news/malicious-pypi-exposes-crypto/
