StepSecurityの脅威インテリジェンスチームは、「ForceMemo」と名付けられたアクティブなサイバーセキュリティキャンペーンを識別しました。このアタックはGitHubの開発者アカウントを侵害し、数百のPythonリポジトリに密かにバックドアを仕込みます。
2026年3月8日から、脅威アクターは機械学習研究、Djangoアプリケーション、PyPIパッケージを含む人気のあるPythonプロジェクトに悪意のあるコードを注入しています。侵害されたリポジトリをクローンしたり、pipを使用してインストールしたりした人は誰でも隠されたマルウェアを実行するリスクに直面しています。
これらのアカウント乗っ取りの根本的な原因はGlassWormマルウェアです。開発者は悪意のあるVS CodeおよびCursorエクステンションを通じて最初に感染し、GitHubの認証トークンが静かに収集されました。
攻撃者がこれらの認証情報を取得すると、被害者のリポジトリへの完全なアクセスを獲得しました。証拠は、アカウントがこの認証情報盗難の被害者になった場合、そのアカウント配下のすべてのPythonリポジトリが同時に感染することを示しています。
可視的なプルリクエストを作成する代わりに、攻撃者は非常にステルスな注入方法を使用しています。リポジトリのデフォルトブランチで最新の正当なコミットを取得し、setup.pyやmain.pyなどのファイルに大幅に難読化されたPythonコードを追加して、変更を強制プッシュします。
この手法は元の著者の名前とコミットメッセージを保持し、リポジトリが一目では手を付けられていないように見えます。ただし、コミッター日付は変更され、コミッターメールは頻繁に「null」に設定されており、これはこのキャンペーンの固有の指紋として機能します。
被害者が毒性のあるPythonファイルを実行すると、マルウェアは複雑な感染チェーンを開始します。まず、システムのロケールとタイムゾーンをチェックして、被害者がロシアにいないことを確認します。これは東ヨーロッパのサイバー犯罪者によって使用される一般的な回避戦術です。
システムが制限地域の外にある場合、マルウェアは従来のコマンドアンドコントロールサーバーではなくSolanaブロックチェーンに接続します。
StepSecurity Harden-Runnerなどのネットワーク監視ツールは、CI/CD環境セキュリティを専門としており、Solanaエンドポイントとペイロードサーバーへの異常な外向き接続をキャプチャすることで、隔離された環境でこの動作を正常に観察しています。
攻撃者はネットワークとホストベースの指標の明確なセットに依存しています。以下は、この脅威に関連する重要な技術データの要約です。
プロジェクトの安全性を確保するために、GitHubから直接Pythonパッケージを頻繁にインストールする開発者は、ローカルリポジトリを確認する必要があります。
著者とコミッターの日付の間の矛盾についてコミット履歴を確認するか、マルウェアの明確な変数名についてローカルファイルを検索することで、侵害されたコードが実行される前に識別するのに役立つ場合があります。
翻訳元: https://cyberpress.org/forcememo-backdoors-python-repositories/