PyPIリポジトリに悪意あるパッケージ、豊富な機能のマルウェアを隠す

Krollは3月1日(米国時間)、「PyPi Packages Deliver Python Remote Access Tools｜Kroll」においてPyPI (Python Package Index)リポジトリに不正なパッケージがあると伝えた。「Colour-Blind」と呼ばれるマルウェアが「colorfool」という名のPyPIパッケージに潜んでいたと報告している。

Krollの調査により、悪意のあるPyPIパッケージがPyPIリポジトリに追加されていたことがわかった。パッケージには豊富な機能を備えた情報窃取型ツールと遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が含まれていたという。PyPIパッケージ内のセットアップスクリプトにペイロードが埋め込まれ、インターネットからZIPファイルをダウンロードするよう設計されていたことが判明している。

ZIPファイル内にはcode.pyという名のファイルが一つだけアーカイブされており、このスクリプトにキーストロークの記録、Cookieの窃取、アンチウイルスソフトであるMicrosoft Defenderの検出回避を目的としたさまざまなモジュールが含まれていたことが確認されている。コードが難読化されており、サンドボックス内で実行されているかどうかを判断する防御回避チェックが含まれていたこともわかった。

遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)としてWebアプリケーションが起動することも判明している。コントロールインタフェースが用意されており、パスワードやキーストロークの収集、アプリケーションの強制終了、スクリーンショットの撮影、コマンドの実行、暗号資産ウォレット情報の窃取など実行できるようになっているという。