Python Package Index(PyPI)リポジトリにある休眠状態のパッケージが、情報窃盗マルウェア「Nova Sentinel」を拡散するために悪用された。このパッケージは「django-log-tracker」と名付けられ、2022年4月にPyPIに初めて公開された。ソフトウェアサプライチェーンセキュリティ会社Phylumによると、2024年2月21日に異常な更新が検出された。GitHubリポジトリは2022年4月10日以降更新されていないが、悪意のある更新の導入は、開発者のPyPIアカウントが侵害された可能性を示唆している。django-log-trackerはこれまでに3,866回ダウンロードされ、悪意のあるバージョン(1.0.4)は公開日に107回ダウンロードされた。このパッケージは現在、PyPIからダウンロードできない。
悪意のある更新では、パッケージのほとんどの元の内容が削除され、__init__.pyファイルとexample.pyファイルのみが残された。変更はシンプルで、リモートサーバー(”45.88.180[.]54″)から”Updater_1.4.4_x64.exe”という実行可能ファイルを取得し、Pythonのos.startfile()関数を使用して起動するというものである。このバイナリには、Nova Sentinelが組み込まれており、これは2023年11月にSekoiaによって初めて文書化され、偽のElectronアプリの形でビデオゲームのダウンロードを提供する偽サイトで配布されていた。Phylumは、この特定のケースで興味深いのは、侵害されたPyPIアカウントを介したサプライチェーン攻撃を試みた攻撃ベクトルであると述べている。もしこれが非常に人気のあるパッケージであった場合、このパッケージを依存関係としてリストしているプロジェクトは、依存関係ファイルにバージョンが指定されていないか、柔軟なバージョンが指定されている場合、最新の悪意のあるバージョンを引っ張ってしまう可能性があった。
【ニュース解説】
Python Package Index(PyPI)リポジトリにある「django-log-tracker」という休眠状態のパッケージが、情報窃盗マルウェア「Nova Sentinel」を拡散するために悪用された事件が発生しました。このパッケージは2022年4月に初めて公開され、2024年2月21日に異常な更新が行われたことがソフトウェアサプライチェーンセキュリティ会社Phylumによって検出されました。更新されたバージョンでは、パッケージの大部分が削除され、特定の実行可能ファイルをダウンロードして実行するように変更されていました。この実行可能ファイルには、Nova Sentinelマルウェアが組み込まれており、ユーザーの情報を盗み出すことができます。
この事件は、開発者のPyPIアカウントが侵害された可能性が高いことを示唆しています。もし「django-log-tracker」がより人気のあるパッケージであった場合、多くのプロジェクトがこの悪意のあるバージョンを自動的にダウンロードしてしまう可能性がありました。これは、サプライチェーン攻撃の一例であり、開発者や組織が使用する外部のコードやライブラリに対する信頼性の問題を浮き彫りにしています。
この事件から学べる重要な教訓は、外部ライブラリやパッケージをプロジェクトに組み込む際のリスク管理の重要性です。開発者は、使用するパッケージの信頼性を確認し、可能であればバージョンを指定して依存関係を管理することが推奨されます。また、ソフトウェアのサプライチェーンセキュリティを強化するために、定期的なセキュリティ監査や脆弱性スキャンを行うことも重要です。
このような攻撃は、個人や組織にとって深刻なセキュリティリスクをもたらす可能性があります。情報窃盗マルウェアによって個人情報や機密情報が盗まれると、金銭的損失や信用の失墜につながる恐れがあります。そのため、開発者や組織は、セキュリティ対策を常に最新の状態に保ち、外部からの脅威に対して警戒を怠らないことが求められます。
長期的な視点では、この事件はソフトウェア開発のプラクティスにおけるセキュリティの重要性を再認識させるものです。サプライチェーン攻撃への対策として、開発者コミュニティや業界全体でセキュリティ意識を高め、共同で対策を講じることが重要になってきます。また、このような攻撃を未然に防ぐための技術的な解決策やガイドラインの開発も、今後の課題として挙げられます。
from Dormant PyPI Package Compromised to Spread Nova Sentinel Malware.
