最近、悪意のあるPythonパッケージ「pyronut」を通じて、Telegramボット開発者を標的とした高度なサプライチェーン攻撃が行われました。このパッケージは正規の「pyrogram」APIフレームワークになりすましていました。
ステルスなランタイムバックドアを組み込むことで、このパッケージは脅威行為者が被害者マシン上で任意のコードとシェルコマンドを直接実行することを可能にしました。
pyronutパッケージは、月間約370,000ダウンロードを受け取る人気のあるTelegramフレームワークであるpyrogramのトロイの木馬化されたフォークとして設計されました。
脅威行為者は偶然のタイポスクワッティングに依存しませんでした。代わりに、アップストリームプロジェクトの説明全体をそのままコピーし、到達不可能なGitHubリポジトリURLを提供しました。
これは、悪意のあるパッケージがTelegramコミュニティグループや開発者フォーラムなどのソーシャルエンジニアリングチャネルを通じて積極的に宣伝されていたことを示唆しています。
Endor Labsの研究者は、2026年3月18日にPyronutの3つの悪意のあるバージョンを特定しました。これは公開された同じ日のことです。コミュニティの素早い警戒のおかげで、パッケージは急速に隔離され、攻撃ウィンドウをわずか数時間に最小限にしました。
インストール時にペイロードを即座に実行する一般的な悪意のあるパッケージとは異なり、Pyronutはステルスなランタイム実行戦略を採用しました。
脅威行為者は、コアクライアントのスタートアップメソッドを変更して、secret.pyファイルから隠されたバックドアモジュールを静かにインポートしました。
起動プロセスは例外処理ブロックでラップされていました。つまり、バックドアの初期化に失敗した場合、エラーは無視され、アプリケーションは正常に機能し続けました。これにより、パッケージはすべての標準的なインストール時のセキュリティチェックをバイパスすることができました。
有効になると、pyronutバックドアは攻撃者に二重の遠隔コード実行機能を提供しました。最初の攻撃ベクトルは/eコマンドを利用しました。これはmevalライブラリを活用して、実行中のTelegramクライアント内で任意のPythonコードを実行しました。
このアクセスにより、攻撃者は静かにメッセージを読み取り、メディアをダウンロードし、連絡先にアクセスし、被害者のセッションを使用して生のTelegram APIメソッドを呼び出すことができました。
2番目の攻撃ベクトルは/shellコマンドを利用して、ユーザーが提供した入力をホストマシンのbashシェルに直接渡しました。これは無制限のオペレーティングシステムアクセスを許可し、攻撃者は認証情報を盗み、データを流出させ、永続性を確立することができました。
Pyronutの短い利用可能期間中に露出した可能性のある組織と開発者は、直ちにインシデント対応アクションを取る必要があります。すべてのアクティブなTelegramセッションを終了し、関連するボットAPIトークンは失効させる必要があります。
攻撃者は任意のシェル実行機能を持っていたため、開発者は、Pythonプロセスがアクセスできるすべてのローカル認証情報、環境変数、SSHキー、およびデータベースパスワードが侵害されたと想定する必要があります。
これらのシークレットは直ちにローテーションする必要があります。最後に、悪意のあるパッケージをアンインストールし、影響を受けた仮想環境は、クリーンで検証された状態から完全に再構築する必要があります。
同様のサプライチェーン攻撃をEndor Labsが防止するために、開発者はプロジェクトリポジトリを厳密に精査し、暗号化されたハッシュチェックでロックファイルを強制し、堅牢なソフトウェアコンポジション分析ツールを実装する必要があります。
翻訳元: https://cyberpress.org/pyronut-backdoors-telegram-bots/