記事本文(要約)
サイバーセキュリティ研究者によると、Python Package Index (PyPI) リポジトリに悪意のあるパッケージがアップロードされ、盗まれたメールアドレスをTikTokやInstagramのAPIを使って検証することが発見されました。これらのパッケージはすでに削除されていますが、具体的には以下のものがあります:
- checker-SaGaF(2,605ダウンロード): TikTokとInstagramアカウントと関連付けられているかを確認するパッケージ。
- steinlurks(1,049ダウンロード): Instagramアカウントを標的にしたパッケージ。
- sinnercore(3,300ダウンロード): パスワードリセットフローを起動するパッケージで、Telegramや暗号通貨関連の機能も含む。
また、「dbgpkg」という別の悪意のあるパッケージがデータ流出やコード実行を狙ったバックドアを開くことが判明しました。このパッケージは「discordpydebug」と同様のペイロードを含んでおり、Phoenix Hyenaというハクティビストグループの活動の一環とされていますが、模倣者の可能性もあります。
さらに、npmリポジトリには「koishi-plugin-pinhaofa」というパッケージが発見され、データ流出用のバックドアをチャットボットにインストールしていました。このパッケージも既に削除されていますが、メッセージ内の機密情報を特定のQQアカウントに送信する機能がありました。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 20 May 2025 11:19:00 +0530
Original URL: https://thehackernews.com/2025/05/malicious-pypi-packages-exploit.html
詳細な技術情報
以下は、提供された文章に基づくセキュリティ分析の詳細です。
脆弱性の概要
文章には、Python Package Index (PyPI) にアップロードされた悪意のあるパッケージに関連する脆弱性と攻撃手法が記されています。これらのツールは主にTikTokやInstagramのAPIを利用して、電子メールアドレスの確認を行うものであり、不正なアクティビティを支援するために使用されます。
主要な脆弱性と攻撃手法
- 電子メールアドレスの検証ツール
- パッケージ名: checker-SaGaF, steinlurks, sinnercore
- 手法: これらのパッケージは、特定の電子メールアドレスがTikTokやInstagramに登録されているかどうかを確認するために、該当するサービスのAPIエンドポイントに対して不正なHTTP POSTリクエストを送信します。
- 情報収集と売買
- 確認されたメールアドレスリストは、ダークウェブで販売される可能性があり、スパムやフィッシング、アカウント停止の脅威などの攻撃に利用される。
- 類似の不正パッケージ
- dbgpkg: デバッグユーティリティを装うが、システムにバックドアを設ける。
- discordpydebug, requestsdev: 同様のキャンペーンの一部として疑われ、共通のペイロードを含む。
- バックドア技術
- Phoenix Hyenaグループに関連する技術が使用され、長期的なシステムの侵害とデータの外部転送を可能にします。
- 別の不正npmパッケージ (koishi-plugin-pinhaofa)
- データ漏えい用のバックドアをインストールし、特定の形式のデータを収集して転送。
潜在的な影響
- 個人情報の危険: 確認済みのメールアドレスがフィッシングやスパム攻撃に利用される危険性がある。
- アカウントの安全性: 認証情報の紛失、アカウント停止の攻撃による直接的な影響。
- システムの脆弱化: バックドアによる長期的なシステムの脆弱化と情報漏えい。
推奨される対策
- 継続的な監視と検出
- PyPIやnpmのようなパッケージリポジトリにおける不正パッケージの早期検出と削除を強化。
- セキュリティ意識の向上
- 開発者はインストールする第三者のパッケージをチェックし、セキュリティレビューを行う。
- セキュリティ対策の強化
- APIエンドポイントに対する異常なリクエストを検知し、IPアドレスをブラックリストに追加するなどの対策を実施。
- 多要素認証の実装
- TikTokやInstagram、その他のサービスにおけるユーザーデータ保護のために、多要素認証を有効化する。
- 教育とトレーニング
- ユーザーおよび開発者に対する定期的なセキュリティ教育の実施を通じて、攻撃手法や保護対策に関する最新情報を提供。
