Checkmarxは11月8日(米国時間)、「Python obfuscation traps」において、PythonのサードパーティソフトウェアリポジトリであるPython Package Index(PyPI)のパッケージからマルウェア「BlazeStealer」を発見したと報じた。
Checkmarxによると、このマルウェアを配布するキャンペーンは2023年1月から確認され、10月においても配布が確認されたという。配布された悪意のあるパッケージは「pyobftoexe」、「pyobfusfile」、「pyobfexecute」、「pyobfpremium」、「pyobflite」、「pyobfadvance」、「pyobfuse」、「pyobfgood」などとされる。
2023年10月に配布が確認された最新のpyobfgoodの分析によると、パッケージのインストール時にマルウェア「BlazeStealer」が実行され、外部から追加のコードを受信して実行するとみられている。追加のコードが実行されると特定の識別子を持つDiscordボットが実行され、システムが脅威アクタにより完全に制御されるようになるという。
このDiscordボットは、次のような機能を備えている。
- 詳細なホスト情報を窃取する
- Chromeブラウザからパスワードを窃取する
- キーロガーをセットアップする
- 任意のファイルを窃取する
- スクリーンショットのキャプチャおよび画面と音声を録画して窃取する
- CPU利用率の上昇、スタートアップディレクトリにスクリプトを挿入してシステム起動直後にシャットダウンさせる、ブルースクリーン(BSoD: Blue Screen of Death)を発生させるなどの方法でシステムを動作不能にする
- Windows Defenderとタスクマネージャを無効にする
- 任意のコマンドを実行する
また、上記に加えてリモートから追加のプログラムをダウンロードして実行することで、Webカメラから秘密裏に写真を撮影して窃取することもできるという。そして、これら悪意のある機能の中で最もユーモアがあるのは、システムの破壊を嘲笑するメッセージ「Your computer is going to start burning, good luck :) (あなたのコンピュータは燃えはじめる、頑張ってくれw)」を表示する機能と説明されている。
The Hacker Newsによると、これら悪意のあるパッケージは合計2,438回ダウンロードされ、その主なダウンロード先は米国(69.2%)、中国(12.4%)、ロシア(5.5%)とされる。Pythonはプログラミング言語として広く活用されており優秀な言語であるが、同時にサイバー攻撃者から狙われる傾向があり、サードパーティのパッケージの利用には注意が必要とされている。
サードパーティのパッケージを利用する場合は、そのパッケージの開発者が信頼できる人物か確認し、必要があればインストール前にパッケージの中身を検査することが望まれている。