セキュリティ企業のReversingLabsは、悪意ある「Python」ライブラリーが公式の「Python Package Index」(PyPI)にアップロードされていることを発見した。
提供:ReversingLabs
これら3つのパッケージ(「libpeshnx」「libpesh」「libari」)は、同じユーザー(名前はruri12)によって作成されており、2017年11月以降、20カ月近くにわたってPyPIからダウンロード可能な状態にあった。2019年7月に入って、これらのパッケージは、ReversingLabsのセキュリティ研究者らによって発見された。
ReversingLabsは7月9日、PyPIのリポジトリメンテナーに通報し、PyPIのセキュリティチームはその日のうちにこれらのパッケージを削除した。
どのパッケージにも説明が記載されておらず、目的を特定するのは不可能だ。しかしPyPIの統計を見ると、これらのパッケージは定期的にダウンロードされており、それぞれが毎月何十回もインストールされていることが分かる。
提供:ReversingLabs
悪意あるコードは、Linuxシステムにインストールされたときにのみ動きのある単純なバックドアメカニズムだったという。
ReversingLabsのチーフソフトウェアアーキテクト兼創設者のTomislav Pericin氏は米ZDNetとのインタビューで、「Pythonパッケージマネージャーからパッケージがインストールされれば、それはユーザーから呼び出されるのを待つ」と述べた。
「ユーザーによって実行されると、バックドアがアクティブになる。バックドアの実行をもっと自動化するインストール手順もある」(Pericin氏)
ReversingLabsによると、バックドアはインタラクティブシェルであり、攻撃者はそれを使って、3つのパッケージがインストールされたコンピューターに接続し、コマンドを実行した可能性があるという。
ReversingLabsが3つのパッケージを見つけたとき、バックドアはlibpeshnxでのみアクティブになっていたが、ほかの2つのパッケージ(libpeshとlibari)には「コードのない悪意ある関数への参照」が含まれていた。このことは、作者がバックドアを削除したか、あるいは、ほかの2つのパッケージのバックドアを含むバージョンをロールアウトする準備を進めていた可能性を示唆している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。