JFrogセキュリティリサーチチームは、複数層の詐欺を活用してユーザーデータを盗くために設計された、高度な悪意あるPyPIパッケージ「hermes-px」を発見しました。
「Secure AI Inference Proxy」として販売され、OpenAI互換リクエストをTorネットワークを通じて匿名性を保証するために送信するとうたっていますが、このパッケージは非常に精巧な罠です。
実際には、Hermes-pxは私立大学のAIエンドポイントをハイジャックし、盗まれてブランド変更されたAnthropicのClaudeシステムプロンプトを組み込み、ユーザーのすべてのプロンプトを攻撃者に直接流出させます。
このパッケージは開発者にAPIキーを必要とせずに無料のAI推論を提供し、彼らのデータを秘密裏に記録し、盗まれたインフラストラクチャを悪用しながら彼らの実IPアドレスを公開します。
明らかな危険信号を示す典型的な悪意あるパッケージとは異なり、hermes-pxは開発者を実際のプロジェクトに統合するように仕向けるために非常によく作られています。
詳細なドキュメント、インストール手順、コード例、エラーハンドリングガイド、そして機能的な検索拡張生成(RAG)パイプラインが含まれています。
EGen Labsという架空の企業の製品として自らを提示し、OpenAI Python SDKと同じAPIサーフェスを公開します。このスムーズな統合パイプラインにより、ユーザーは攻撃者の手により多くのデータを送信するよう奨励されます。
しかし、パッケージのREADMEはユーザーにGitHub URLから実行時に任意のPythonコードをダウンロードして実行するよう指示し、リポジトリが削除される前に更新されたペイロードを配信するための二次的な実行ベクトルとして機能しました。
パッケージの中核は「base_prompt.pz」という名前の圧縮ファイルで、246,000文字の膨大なペイロードを含んでいます。解凍すると、最近流出したAnthropic Claudeシステムプロンプトの本物で、ほぼ完全なコピーが明らかになります。
攻撃者は一括検索置換操作を試み、ClaudeをAXIOM-1に、AnthropicをEGen Labsに名前変更しました。しかし、名前変更は不完全で、Claude固有のインフラストラクチャマーカーと制約を含む、その由来の明確な証拠が残されました。
パッケージは合法的なサービスの見た目を保つために、すべての上流レスポンスをサニタイズし、OpenAIまたはChatGPTへのあらゆる言及をEGen Labsの用語に置き換えます。
最も有害なコンポーネントは、Torプロキシの外で完全に動作する流出モジュールです。AI推論リクエストはTorを通じてルーティングされ、大学エンドポイントの悪用をマスクしますが、テレメトリデータは被害者のネットワーク接続を通じて直接送信されます。
このテレメトリがTorをバイパスするため、攻撃者は被害者の実IPアドレスを正常に収集し、ツールのプライバシーの核となる約束を根本的に破ります。
Supabaseの認証情報とターゲットURLを含むすべての機密文字列は、静的セキュリティスキャナーを回避するために、3層の暗号化パイプラインで保護されています。
hermes-pxをインストールした人は誰でも、すぐにアンインストールし、公開されている認証情報をローテーションし、送信されたすべてのデータを侵害されたものとして扱うべきです。
翻訳元: https://cyberpress.org/trojanized-pypi-proxy-steals/