ReversingLabsは12月19日(米国時間)、「SentinelSneak: Malicious PyPI module poses as security software development kit」において、セキュリティベンダの正規のソフトウェア開発キット(SDK: Software Development Kit)を模倣した悪意あるPythonパッケージがPyPIに登録されていたと伝えた。このパッケージは登録されてから短期間に20回アップデートされており、実際にはバックドアとして機能するものと分析されている。

  • SentinelSneak: Malicious PyPI module poses as security software development kit

    SentinelSneak: Malicious PyPI module poses as security software development kit

ReversingLabsはセキュリティベンダーであるSentinelOneと同じ名前のPythonパッケージが2022年12月11日にPyPI (Python Package Index)にアップロードされたことを発見。最新バージョンは2022年12月13日にアップロードされたバージョン1.2.1だったことも指摘されている。

このパッケージは一見すると正しく機能するSentinelOneクライアントのように見えるが、実際には正規のSentinelOne SDKクライアントコードをベースにして開発されたバックドアであるとReversingLabsの研究者は説明。これら悪意ある機能はインストール時には機能しない仕組みになっており、セキュリティソフトウェアによる検出を回避しようとしていることにも言及されている。なお、本稿執筆時点では、該当するパッケージはダウンロードできなくなっている。

サイバー犯罪者はソフトウェアサプライチェーンをサイバー攻撃に悪用するように攻撃手法を変えつつあり、PyPI (Python Package Index)のみならずGitHub.comやnpmもこうしたサイバー攻撃に悪用されている。ソフトウェア開発者はサードパーティ製ソフトウェアを使用する場合は、こうしたリスクが存在していることを認識するとともに、注意深く利用するライブラリを選定することが望まれる。