北朝鮮の国家支援ハッキンググループであるLazarusは、開発者のシステムにマルウェアを感染させる目的で、Python Package Index(PyPI)リポジトリに4つのパッケージをアップロードした。これらのパッケージはpycryptoenv、pycryptoconf、quasarlib、swapmempoolであり、現在は削除されているが、合計で3,269回ダウンロードされていた。特にpycryptoconfは1,351回のダウンロードがあった。
JPCERT/CCの研究者であるShusei Tomonagaによると、パッケージ名のpycryptoenvとpycryptoconfは、Pythonで暗号化アルゴリズムに使用されるpycryptoと似ているため、タイプミスをしたユーザーを狙った可能性がある。この攻撃は、テストスクリプト(”test.py”)内に悪意のあるコードが隠されている点で、npmレジストリ上のいくつかの悪質なパッケージを使用した以前の攻撃と共通している。しかし、この場合、テストファイルはXORエンコードされたDLLファイルであり、IconCache.dbとNTUSER.DATという2つのDLLファイルを生成する。攻撃シーケンスは、NTUSER.DATを使用してIconCache.dbをロードし実行する。IconCache.dbはComebackerと呼ばれるマルウェアで、コマンドアンドコントロール(C2)サーバーとの接続を確立し、Windows実行ファイルをフェッチして実行する責任がある。
JPCERT/CCは、このパッケージが、2023年11月にPhylumが最初に詳細を報告した、crypto-themed npmモジュールを利用してComebackerを配信するキャンペーンの継続であると述べている。Tomonagaは、開発環境でモジュールやその他のソフトウェアをインストールする際には、望まないパッケージをインストールしないように注意して行うようユーザーに警告している。
【ニュース解説】
北朝鮮の国家支援を受けるハッキンググループ、Lazarusが開発者のシステムにマルウェアを感染させるために、Python Package Index(PyPI)リポジトリに悪意のあるパッケージをアップロードした事件が発覚しました。この攻撃でアップロードされたパッケージは、pycryptoenv、pycryptoconf、quasarlib、swapmempoolの4つで、これらは合計で3,269回ダウンロードされていました。特に、pycryptoconfは1,351回のダウンロードがありました。
この攻撃の背景には、開発者がPythonパッケージをインストールする際のタイプミスを狙ったものであることが指摘されています。例えば、pycryptoenvやpycryptoconfといったパッケージ名は、Pythonで暗号化アルゴリズムに使用される正規のパッケージpycryptoと似ており、この類似性を利用してユーザーが誤ってマルウェアを含むパッケージをダウンロードする可能性があります。
この攻撃の特徴的な点は、悪意のあるコードがテストスクリプト(”test.py”)内に隠されていることです。しかし、このテストファイルは実際にはXORエンコードされたDLLファイルであり、さらに2つのDLLファイル、IconCache.dbとNTUSER.DATを生成します。攻撃の流れとしては、NTUSER.DATを使ってIconCache.dbをロードし、実行することで、Comebackerと呼ばれるマルウェアがコマンドアンドコントロール(C2)サーバーとの接続を確立し、Windows実行ファイルを取得して実行します。
このような攻撃は、開発者が使用するソフトウェアの信頼性とセキュリティに対する重大な脅威を示しています。開発環境において、信頼できるソースからのみソフトウェアをインストールし、タイプミスによる誤ったインストールを避けることが重要です。また、この事件は、ソフトウェアリポジトリのセキュリティ対策と監視体制の強化が急務であることを示しています。
この攻撃は、開発者や企業にとって、ソフトウェアの依存関係管理とセキュリティ対策の重要性を再認識させるものです。また、国家支援を受けたサイバー攻撃の脅威が、個々の開発者や小規模なプロジェクトにまで及ぶ可能性があることを示しており、サイバーセキュリティの意識を高め、適切な対策を講じることが求められます。
from Lazarus Exploits Typos to Sneak PyPI Malware into Dev Systems.
