Source: https://www.darkreading.com/application-security/malicious-chimera-pypi
🛡 概要
最近、Pythonパッケージインデックス(PyPI)にアップロードされた悪意あるパッケージが、ソフトウェアサプライチェーンの脅威の進化を示しています。JFrogのセキュリティ研究者は、人工知能のコード開発やテストのために使用されるchimera-sandboxを標的にしたマルウェア「chimera-sandbox-extensions」を発見しました。攻撃者は「chimera」というユーザー名を使用しており、このパッケージは企業のインフラに特化した情報を狙っています。
🔍 技術詳細
このマルウェアの主なペイロードは情報窃取ツールであり、JAMFのレシート、認証トークン、CI/CD環境情報、AWSトークンなどを盗むよう設計されています。JFrogの分析によると、chimera-sandbox-extensionsはドメイン生成アルゴリズム(DGA)を使用して、10のドメインを生成し、常に1つのアクティブなドメインを使用してコマンド&コントロール(C2)サーバーと通信します。この手法は、検出とブロックを困難にします。また、C2サーバーと接続が確立されると、セッショントークンを取得し、次のステージのPythonペイロードをダウンロードして実行します。
⚠ 影響
chimera-sandbox-extensionsは、開発環境に対する持続的なアクセスを可能にし、特権の昇格、機密データの窃取、CI/CDパイプラインの操作、悪意あるコードの展開などを行う可能性があります。このマルウェアは企業やクラウドインフラに特化しており、開発者はこのパッケージがデータサイエンスや機械学習のワークフローを支援する正当な拡張機能であると誤解していました。これにより、開発者が意図せずに悪意あるパッケージを環境にダウンロードする危険性が高まります。
🛠 対策
このような脅威に対処するためには、開発者はパッケージの信頼性を確認することが重要です。公式なソースからのみパッケージをインストールし、不明なパッケージに対しては慎重に行動する必要があります。また、セキュリティツールを導入し、依存関係の監視を行うことで、悪意あるコードの侵入を防ぐことができます。さらに、開発環境での自動化ツールの使用を見直し、手動でのパッケージ検索を最小限に抑えることが推奨されます。
