- JFrogがTelnyx PyPIパッケージがTeamPCPによってマルウェアで汚染されたことを報告
- 悪意のあるアップデートが、情報盗聴者と永続性メカニズムをデプロイした隠された.wavペイロードを配信
- ユーザーはダウングレード、C2通信をブロック、認証情報をローテーション、永続性をスキャンするよう勧告
リアルタイム通信機能を提供する人気のあるPyPIパッケージであるTelnyxが、最近汚染され、ユーザーにマルウェアを提供するために使用されたと、専門家は警告しています。
セキュリティ研究機関JFrogからのレポート(他の独立したセキュリティ専門家とともに)は、開発者がアプリに音声やメッセージングなどのリアルタイム通信機能を追加できるクラウドプラットフォームであるTelnyxが、通話システムやSMSベースのサービスなどのソリューション構築用のAPIとツールを提供していることを指摘しています。
既に数百万回ダウンロードされており、JFrogによると、今月だけで670,000回以上のダウンロードがあります。Twilioの代替手段として機能し、非同期httpxサポートと高並行環境でのコスト効率が理由で選択されることがあります。
記事は下に続きます
2つの汚染されたバージョン
しかし、Telnyxは最近更新され、2つの新しいバージョンがPyPIにリリースされました:4.87.1および4.87.2。パッケージをアップグレードしたユーザーは、インターネットから通常のオーディオファイル(.wav)を提供されました。このスクリプトはそれを抽出してデコードします。
内部に隠されている悪意のあるコードは、ターゲットデバイス上の永続性を確立し、ログイン認証情報やシステム情報などのデバイスからのデータを取得する情報盗聴者として機能するステージ2マルウェアをデプロイするために使用されます。
攻撃はTeamPCPと呼ばれるハッカー集団によって実行されました。このグループは最近、LiteLLMという別の主要なPythonパッケージを侵害することに成功したとき、最近ニュースを集めています。
現在、研究者はtelnyxにほぼ同じコードを観察しており、メンテナーのPyPIアカウントがどのように侵害されたかについてまだ確実ではないと言っています。
いずれにせよ、.wavペイロードはオフラインになり、それをホストしているURLもオフラインです。汚染されたバージョンをインストールした人は、クリーンなバージョンにダウングレードし、すべてのC2アドレス通信をブロックしてから、すべての認証情報を取り消してローテーションする必要があります。その後、追加の永続性をスキャンして、侵害が完全に解決されたことを確認する必要があります。
WordPressウェブサイトの保護
プラットフォームとして、WordPressは一般的に安全であり、既知の主要な脆弱性がないと考えられています。しかし、それは膨大なサードパーティ、ユーザー作成のテーマとプラグインのリポジトリを運営しており、無料と有料のカテゴリーに分かれています。後者は通常、専用のメンテナンスと開発チームが付属し、したがって定期的に更新され、攻撃に対して強化されています。
一方、無料のものは、熱心な開発者、小規模チーム、フリーランス開発者によってよく構築されています。ユーザーの間で人気があるにもかかわらず、その多くは放棄され、メンテナンスされていない、またはその他の方法で管理不全です。そのため、一方では巨大なセキュリティリスクを生成し、他方では攻撃機会を生成します。
経験則として、セキュリティ研究者はWordPressユーザーに、プラットフォーム、テーマ、プラグインを常に最新に保つように勧めています。さらに、彼らはユーザーに積極的に使用しているテーマとプラグインのみをインストール保持し、デフォルトのセキュリティおよびプライバシー設定を確実に置き換えることを提案しています。
そしてもちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、ビデオ形式のアンボックスを取得し、WhatsAppから定期的なアップデートを取得してください。
