SentinelLabsは9月1日(米国時間)、「PyPI Phishing Campaign|JuiceLedger Threat Actor Pivots From Fake Apps to Supply Chain Attacks - SentinelOne」において、PyPI (Python Package Index)を標的としたフィッシングキャンペーンを展開している脅威アクターに関する詳細な調査結果を伝えた。ソフトウェアセキュリティベンダーであるCheckmarxと協力し、「JuiceLedger」と呼ばれる脅威アクターの活動と進化を追跡した結果が報告されている。

  • PyPI Phishing Campaign|JuiceLedger Threat Actor Pivots From Fake Apps to Supply Chain Attacks - SentinelOne

    PyPI Phishing Campaign|JuiceLedger Threat Actor Pivots From Fake Apps to Supply Chain Attacks - SentinelOne

SentinelLabsの主な調査結果は次のとおり。

  • JuiceLedgerは、「JuiceStealer」と呼ばれる.NETマルウェアを介した情報窃取を行う比較的新しい脅威アクターである
  • 6か月あまりの間に詐欺的なアプリケーションからサプライチェーン攻撃へと、サイバー攻撃を急速に進化させている
  • 2022年8月にPyPIコントリビュータに対してフィッシングキャンペーンを行い、多数の正規パッケージの侵害に成功
  • JuiceStealerマルウェアを配信する数百のタイポスクワッティングパッケージが確認されている
  • 少なくとも合計ダウンロード数が約70万に達している2つの正統なパッケージ(exotelおよびspam)が侵害されている
  • PyPIプロジェクトによって既知の悪意のあるパッケージおよびタイポスクワッティングパッケージは削除または停止されている

PyPIやその他のオープンソースのパッケージがエンタープライズ環境で広く使用されていることを考えると、このような攻撃は懸念すべきものであり、セキュリティチームは提供された指標を確認し、適切な緩和策を講じることが強く推奨されている。