Checkmarxは7月26日(米国時間)、「Malicious Python Package Targets macOS Developers」において、macOS開発者を標的とする悪意のあるPythonパッケージをPythonパッケージリポジトリ「PyPI」から発見したと報じた。開発者がこのPythonパッケージをインストールすると、Google Cloudの認証情報を窃取される可能性がある。
悪意のあるPythonパッケージ
発見された悪意のあるPythonパッケージは2024年6月にアップロードされた「lr-utils-lib」とされる。パッケージのsetup.pyに悪意のあるコードが含まれており、インストール時に標的のmacOSデバイスからGoogle Cloudの認証情報を窃取しようとする。
この悪意のあるコードには、デバイス固有のIOPlatformUUIDのハッシュ値が64個ハードコードされており、これらに一致するデバイスに対してのみ攻撃が実行される。つまり、攻撃者は何らかの方法で標的デバイスの固有情報を事前に把握していたことになる。
ソーシャルエンジニアリングの可能性
Checkmarxは悪意のあるパッケージの所有者Lucid Zenith氏についても調査を行っている。通常、悪意のあるパッケージにはハンドルネームが使用されるため追跡は困難とされる。しかしながら、今回はLinkedInにプロファイルが存在したという。
発見されたLinkedInのプロファイルには、Lucid Zenith氏をApex Companiesの最高経営責任者(CEO: Chief Executive Officer)と紹介していたとされる。Apex Companiesのホームページを確認すると、CEOはDave Fabianski氏とされLucid Zenith氏は偽物とわかる。
ここでなぜ容易に見抜かれる偽プロファイルをわざわざ作成したかという疑問がわく。Checkmarxはその点についても調査しており、AI(Artificial Intelligence)チャットボット型検索エンジンの「Perplexity」が偽プロファイルを正しいと回答することを発見している。攻撃者がPerplexityを攻撃に使用したかまではわからないが、偽プロファイルをソーシャルエンジニアリング攻撃に悪用した可能性がある。
対策
Checkmarxは同様の攻撃を回避するためPythonパッケージを利用する開発者に対し、ダウンロード前にパッケージの信頼性を確認するよう推奨している。また、インストール前にパッケージを調査し、不審なコードが含まれていないか確認することも求めている。
今回の攻撃が個人を標的にしたものか、企業を標的にしたものかは明らかになっていない。しかしながら、攻撃者は初期アクセス獲得のために個人を標的にし、そこから企業内部に侵入することがある。そのため、Pythonを利用する開発企業にはPythonパッケージの安全な採用方法を策定し、開発者に教育することが望まれている。