不正なPythonパッケージ「sellpass-sdk」に注意

2024年1月13日 17時5分

Impervaは1月11日(米国時間)、「Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI｜Imperva」において、PythonパッケージリポジトリのPyPIから悪意のあるパッケージ「sellpass-sdk」を発見したと報じた。このパッケージをインストールすると情報窃取マルウェア「Blank-Grabber」に感染する。ImpervaはPyPIセキュリティチームに発見を報告しており、すでにパッケージは削除されている。

Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI｜Imperva

○Pythonパッケージ「sellpass-sdk」の概要

この悪意のあるパッケージは、ユーザの信用を得るために既存の信用されているパッケージを悪用している。Impervaの調査によると、「sellpass」という正常なパッケージが配布されており、脅威アクタはこのパッケージを元にして悪意のあるパッケージを作成したとみられている。

また、ユーザー名を本物の「xyss」に似せた「xyss2」とし、配布するパッケージもバージョン1.0と1.1(中身は同じ)を用意して継続した開発が行われているように見せかけたとされる。このような努力のためか、これまでに488回ダウンロードされたという。

本物のsellpassプロジェクトと偽物のsellpass-sdkプロジェクト　引用：Imperva

○Pythonパッケージ「sellpass-sdk」をインストールした場合の被害

Impervaの分析によるとこのパッケージをインストールすると、悪意のあるPowerShellスクリプトが実行され、情報窃取マルウェア「Blank-Grabber」がダウンロード、実行される。Blank-Grabberは資格情報やセッションCookie、暗号通貨ウォレットの情報などを収集してDiscord Canaryに送信する。また、画面の監視、Webカメラへの不正アクセス、ネットワークの侵害、永続性の確保などの機能があるとされる。

Blank-Grabberの感染経路　引用：Imperva

Impervaはこのような攻撃を回避するためPyPIを利用する開発者に対し、パッケージの作成者、パッケージ名、メタデータを再確認することを推奨している。また、今回の分析において判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。

みんなの感想は？

不正なPythonパッケージ「sellpass-sdk」に注意

外部サイト

ランキング

外部サイト

おすすめ記事

ランキング