Sonatypeはこのほど、「Russia-linked 'Lumma' crypto stealer now targets Python devs」において、Pythonのパッケージリポジトリ「PyPI」から情報窃取マルウェア「Lumma Stealer」を配布するPythonパッケージ「crytic-compilers」を発見したと報じた。このパッケージは正規のPythonパッケージ「crytic-compile」のタイポスクワッティングとされ、通報を受けて削除されるまでに436回ダウンロードされたとみられている。

  • Russia-linked 'Lumma' crypto stealer now targets Python devs

    Russia-linked 'Lumma' crypto stealer now targets Python devs

徹底したなりすまし

この悪意のあるPythonパッケージは他のタイポスクワッティングパッケージと異なり、徹底したなりすまし戦術を使用するという。具体的には、正規パッケージと同じバージョン番号の悪意のないパッケージをリリースして開発者に疑われないようにしている。

正規パッケージの最新バージョンは「0.3.7」だが、悪意のあるパッケージにはバージョン「0.3.9」および「0.3.11」が存在し、開発者に最新版のような印象を与える。バージョン0.3.9はインストールすると正規パッケージをインストールするように作られており、悪意のある処理は含まれていない。対して、バージョン0.3.11には悪意のある処理が含まれており、インストールすると情報窃取マルウェア「Lumma Stealer」に感染する。

アンチウイルスソフトで検出可能

Sonatypeによると、インストール時に実行される悪意のある実行可能ファイル「s.exe」は、主要なアンチウイルスソフトウェアから検出可能だという(参考:「VirusTotal - File - cf44e9b39e1278b0494a04df5217df9ec4e789692fa2eb91e82eca54fcd0b015」)。そのため、これらアンチウイルスソフトウェアをインストールしてリアルタイム検出を有効にしているユーザーは被害を回避できるとみられる。

影響と対策

最終的に実行される情報窃取マルウェア「Lumma Stealer」は、主に暗号資産ウォレットおよびWebブラウザ拡張機能の情報を窃取するとされる。Sonatypeはこのような攻撃を回避するため、アンチウイルスソフトウェアの導入を推奨している。

また、PyPIパッケージを利用する開発者には、インストール前にパッケージの監査を実施し、悪意のあるコードが含まれていないか徹底的に調査することが推奨されている。このとき、パッケージの作者の信頼性、ダウンロード数、リポジトリーの作成日なども評価することが望まれている。