Phylumは3月22日(米国時間)、「Malicious Actors Use Unicode Support in Python to Evade Detection」において、PyPI (Python Package Index)リポジトリに認証情報やその他の機密データを採取して流出させる悪質なパッケージがあるとして、注意を喚起した。Unicodeをトリックとして使用し、検出を回避して情報窃取型マルウェアを展開する不正なパッケージが特定された。

  • Malicious Actors Use Unicode Support in Python to Evade Detection

    Malicious Actors Use Unicode Support in Python to Evade Detection

PyPI上で「onyxproxy」という不正なパッケージが検出された。問題のパッケージは2023年3月15日にPyPIにアップロードされており、認証情報やその他の重要データを採取および流出させる機能を備えていることがわかった。

Phylumの調査により、数千もの正当なコード文字列で記述されたセットアップスクリプト内に悪意のあるコードが組み込まれていることが判明している。悪意のあるコードは太字や斜体のサンセリフ(sans-serif)フォントの組み合わせで構成されており、Pythonインタプリタによって読み取られ、パッケージのインストール時にインフォスティーラマルウェアを実行するとのことだ。

PythonインタプリタがUnicodeを処理する方法を悪用してマルウェアを難読化した脅威と考えられている。このようなサイバー攻撃は、パッケージ管理システムに依存する多くの開発者に多大な影響を及ぼす可能性もあり、サードパーティ製ソフトウェアを使用する場合、リスクが存在することを認識するとともに、利用するソフトウェアの情報を事前に確認しておくことが強く望まれている。