Phylumはこのほど、「A Deep Dive Into poweRAT: a Newly Discovered Stealer/RAT Combo Polluting PyPI」において、PyPI (Python Package Index)ユーザーに対して行われたマルウェアキャンペーンを発見したと伝えた。開発者のシステムに情報窃取を行うマルウェアを展開する6つの悪意のあるパッケージがPyPIリポジトリに配置されていたことが明らかとなった。
-
A Deep Dive Into poweRAT: a Newly Discovered Stealer/RAT Combo Polluting PyPI
Phylumの調査により、2022年12月22日から12月31日にかけて、悪意のあるPyPIパッケージがPyPIリポジトリに配置されたことがわかった。発見された悪意のあるPyPIパッケージは次のとおり。
- pyrlogin
- easytimestamp
- disorder
- discord-dev
- style.py
- pythonstyles
悪意のあるコードはパッケージ内のセットアップスクリプト「setup.py」に埋め込まれ、システムにインストールするだけでマルウェアに感染してしまうことが確認されている。このマルウェアはZIPファイルを取得するPowerShellスクリプトを起動するよう設計されており、pynput、pydirectinput、pyscreenshotといった不正なライブラリをシステムにインストールするとされている。さらに、最終的に悪意のあるPowerShellスクリプトを実行することも確認されている。
PyPIリポジトリに悪意のあるパッケージを配置するというサイバー犯罪は後を絶たない。ソフトウェア開発者はサードパーティ製ソフトウェアを使用する場合にリスクが存在していることを認識するとともに、利用するライブラリを注意深く選定することが望まれる。
Xiaomiなどの調理器具が個人情報収集? 消費者協会が注意喚起
