悪意あるPyPIパッケージ発見、SSHのauthorized\_keysファイル書き換えなど行う

Sonatypeはこのほど、「Malicious ‘aptX’ Python Package Drops Meterpreter Shell, Deletes ‘netstat’」において、PyPI (Python Package Index)リポジトリに不正なPyPIパッケージが登録されていたと伝えた。マルウェアの投下、netstatユーティリティの削除、SSHのauthorized_keysファイルの操作など多数の悪意あるアクションを実行する4つのPyPIパッケージが発見されている。

Sonatypeの調査により、悪意のあるPyPIパッケージがPyPIリポジトリに追加されていたことが明らかとなった。発見された悪意のあるPyPIパッケージは次の4点。

aptx
bingchilling2
httops
tkint3rs

セットアップスクリプトに注入された悪意のあるコードを分析したところ、難読化されたMeterpreterが挿入されていることが判明。Python用の正規のパッケージインストーラとして偽装されていることがわかった。またネットワーク構成とアクティビティの監視に使用されるnetstatコマンドラインユーティリティを削除するコード、リモートアクセス用のSSHバックドアを設定するために.ssh/authorized_keysファイルを変更するコードも挿入されていたことが確認されている。

サイバー犯罪者がマルウェアを配布するため、PyPIリポジトリに悪意のあるパッケージを配置する行為を続けている。ソフトウェア開発者はサードパーティ製ソフトウェアを使用する場合はリスクが存在していることを認識した上で、利用するライブラリの情報を入念にチェックすることが望まれる。