Sonatypeは8月3日(米国時間)、「Malicious PyPI package ‘VMConnect’ imitates VMware vSphere connector module」において、VMware vSphereコネクタモジュールの「vConnector」によく似た悪意のあるPyPI(The Python Package Index)パッケージの「VMConnect」を発見し、分析結果を伝えた。

  • Malicious PyPI package ‘VMConnect’ imitates VMware vSphere connector module

    Malicious PyPI package ‘VMConnect’ imitates VMware vSphere connector module

Sonatypeによると、この悪意のあるパッケージ「VMConnect」は先月末頃にSonatypeの自動検出システムよって発見されたもの。正規のvConnectorとほぼ同じコードを含んでおり、BleepingComputerによると237回ダウンロードされたとのこと。さらに、Sonatypeはこの調査を行っている間に、「ethter」と「quantiumbase」という同じ構造と同じ手法、同じペイロードを含むパッケージが出現したとしている。

これら3つのパッケージはそれぞれ異なるパッケージを模倣していることから、異なる開発者層をターゲットとしていると見られるが、同じコマンド&コントロール(C2: Command and Control)サーバから同じペイロードをダウンロードする共通点がある。

Sonatypeの分析によると、GitHub上のVMConnectのソースコードと配布されているVMConnectパッケージに含まれるコードは異なっており、VMConnectパッケージのみに悪意のあるコードが含まれている。このため、GitHub上のコードをみても問題が発見されないように対策が行われている。この悪意のあるコードは、コマンド&コントロールサーバからペイロードのダウンロードと実行する処理を、毎分永遠に続けるとされる。

Sonatypeはダウンロードされるペイロードの取得に失敗したため、この先の分析はできていないとしており、このキャンペーンによってどのような被害が発生したかはわかっていない。なお、これら悪意のあるパッケージはSonatypeの通報によりすでに削除されている。

VMware vSphereユーザに対しSonatypeは、正規のPython Connectorモジュールを入手する際にはオフィシャルドキュメントとリポジトリの手順に従う必要があると注意を促している。