Fortinetは1月3日(米国時間)、「Three New Malicious PyPI Packages Deploy CoinMiner on Linux Devices|FortiGuard Labs」において、Linuxを標的としたマイニングマルウェア「CoinMiner」を含む悪意のあるPyPI(Python Package Index)パッケージを発見したと報じた。発見されたパッケージは「modularseven-1.0」、「driftme-1.0」、「catme-1.0」の3種類で、すべて同じPyPIアカウント「sastra」によって配布されたという。
-
Three New Malicious PyPI Packages Deploy CoinMiner on Linux Devices|FortiGuard Labs
マルウェアが発見されたPyPIパッケージの概要
これらパッケージは共通の攻撃手法を採用しており、過去に発見された「culturestreak」パッケージの攻撃手法を踏襲しているとされる。攻撃はパッケージに含まれる「__init__.py」ファイルを起点とし、攻撃者のコマンド&コントロール(C2: Command and Control)サーバから悪意のあるスクリプトを取得して実行する。
このスクリプトは永続性を確保するために、ユーザーのシェル設定ファイル「~/.bashrc」を修正する。このため、悪意のあるプロセスおよびファイルを削除しても、ログイン時などにマルウェアが繰り返し実行されることになる。
発見されたCoinMinerは2021年にVirusTotalに登録されており、多くの主要なセキュリティソリューションから検出が可能とみられている。このため、アンチウイルスソフトウェアを導入することで、この攻撃を検出または回避できる可能性がある。
-
マルウェアのハッシュ値をもとにVirusTotalを検索した結果
安全にPyPIパッケージを利用する方法
Fortinetは今回の調査結果から、この攻撃手法が継続的に改良されていることがわかると指摘、今後も同様の攻撃が発生する可能性があると注意を促している。PyPIパッケージを活用する開発者は信頼できる開発者のパッケージのみを使用し、それ以外のパッケージを使用するときはインストール前に不審な処理が含まれていないか確認することが推奨されている。
また、Fortinetは調査の過程で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
