Impervaは1月11日(米国時間)、「Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI|Imperva」において、PythonパッケージリポジトリのPyPIから悪意のあるパッケージ「sellpass-sdk」を発見したと報じた。このパッケージをインストールすると情報窃取マルウェア「Blank-Grabber」に感染する。ImpervaはPyPIセキュリティチームに発見を報告しており、すでにパッケージは削除されている。

  • Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI|Imperva

    Python’s Poisoned Package: Another ‘Blank Grabber’ Malware in PyPI|Imperva

Pythonパッケージ「sellpass-sdk」の概要

この悪意のあるパッケージは、ユーザの信用を得るために既存の信用されているパッケージを悪用している。Impervaの調査によると、「sellpass」という正常なパッケージが配布されており、脅威アクタはこのパッケージを元にして悪意のあるパッケージを作成したとみられている。

また、ユーザー名を本物の「xyss」に似せた「xyss2」とし、配布するパッケージもバージョン1.0と1.1(中身は同じ)を用意して継続した開発が行われているように見せかけたとされる。このような努力のためか、これまでに488回ダウンロードされたという。

  • 本物のsellpassプロジェクトと偽物のsellpass-sdkプロジェクト - 提供:Imperva

    本物のsellpassプロジェクトと偽物のsellpass-sdkプロジェクト  引用:Imperva

Pythonパッケージ「sellpass-sdk」をインストールした場合の被害

Impervaの分析によるとこのパッケージをインストールすると、悪意のあるPowerShellスクリプトが実行され、情報窃取マルウェア「Blank-Grabber」がダウンロード、実行される。Blank-Grabberは資格情報やセッションCookie、暗号通貨ウォレットの情報などを収集してDiscord Canaryに送信する。また、画面の監視、Webカメラへの不正アクセス、ネットワークの侵害、永続性の確保などの機能があるとされる。

  • Blank-Grabberの感染経路 - 提供:Imperva

    Blank-Grabberの感染経路  引用:Imperva

Impervaはこのような攻撃を回避するためPyPIを利用する開発者に対し、パッケージの作成者、パッケージ名、メタデータを再確認することを推奨している。また、今回の分析において判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。