概要:新たなサプライチェーン攻撃
サイバーセキュリティ研究者たちは、Python Package Index (PyPI) を通じて配布された悪意のあるパッケージを介し、Python開発者を標的とした巧妙なサプライチェーン攻撃を発見しました。この「spellcheckers」と名付けられた悪意あるパッケージには、仮想通貨情報を盗み、被害者のコンピューターへのリモートアクセスを確立するために設計された多層暗号化バックドアが含まれています。
この攻撃に使用されたコマンド&コントロール (C2) インフラストラクチャは、以前に偽の採用担当者になりすまし、仮想通貨ユーザーを標的としたソーシャルエンジニアリングキャンペーンと関連付けられています。2025年を通じて、これら「偽の採用担当者」による攻撃はますます増加しており、主に機密性の高い仮想通貨ウォレット情報や認証情報の窃取に焦点が当てられてきました。PyPIリポジトリへと運用を拡大することで、攻撃者はターゲットを大幅に広げ、意図せず侵害されたパッケージをインストールしてしまう開発者を狙っています。
悪意のあるパッケージ「spellcheckers」
この悪意のあるパッケージは、1,800万回以上ダウンロードされている正規の「pyspellchecker」ライブラリを模倣しています。展開以来、偽の「spellcheckers」パッケージはすでに950回以上ダウンロードされており、数百の開発者システムおよび環境が侵害された可能性があります。
多段階にわたる攻撃メカニズム
この攻撃は、検知を回避し、持続的なリモートアクセスを確立するために、慎重に編成された3段階のプロセスで展開されます。
-
第1段階:ローカルのBase64エンコードされたペイロードの読み込み
最初の段階では、「ma_IN.index」という名前のBase64エンコードされた隠しインデックスファイルを通じて悪意のあるコードが実行されます。ユーザーがパッケージをインストールしてインポートすると、
spellcheckers/detect.py内のコードがrun_indexメソッドをトリガーし、インデックスファイルからエンコードされたペイロードを読み込み、Base64デコードしてPythonのexec()関数を使用して実行します。デコードされた最初の段階のペイロードは、
dothebest.storeに位置する攻撃者のC2サーバーに直ちに接触します。そこから「inform.php」エンドポイントを介して追加の悪意のあるコードを取得し、デタッチされたサブプロセスで実行します。これにより、バックドアはユーザーに目に見えるコンソールウィンドウやエラーメッセージで警告することなく、独立して動作します。 -
第2段階:リモートアクセス型トロイの木馬(RAT)のダウンロードと実行
第2段階では、C2サーバーから別のBase64エンコードされたスクリプトがダウンロードされ、完全に機能するリモートアクセス型トロイの木馬(RAT)が実装されます。この洗練されたバックドアは、「refresh.php」エンドポイントを介してC2サーバーへの持続的な接続を確立し、攻撃者からのコマンドを継続的にポーリングします。
高度な検知回避技術
マルウェアは、セキュリティツールやアナリストによる検知を回避するために、いくつかの高度な技術を採用しています。
- カスタムXOR暗号化:感染したシステムとC2サーバー間のネットワーク通信を難読化するために、16バイトのキーを使用したカスタムXOR暗号化ペイロードが使用されます。
- 完全なリモート制御:バックドアは継続的にC2サーバーをポーリングし、コマンドID 1001を介して受信したPythonコードを実行します。これにより、攻撃者は任意のPythonコマンドを実行する能力を持ち、感染したシステムを完全にリモート制御できます。
- 二重層暗号化:攻撃者に送信されるすべてのデータは、XOR暗号化された後、Base64エンコードされます。さらに、バックドアは、コマンド識別子とデータ長フィールドを含むカスタムプロトコル形式を実装し、キー値123を使用した単純なXOR操作による追加の暗号化層を適用します。この二重層暗号化アプローチにより、セキュリティ研究者がネットワークトラフィックを傍受した場合でも、悪意のあるコマンドの復号は困難になります。
- 例外抑制:コード全体にわたって例外抑制が実装されており、
try-exceptブロックがすべてのエラーをキャッチして黙って無視します。これにより、セキュリティ監視ツールが異常な動作を検知したり、システム管理者に警告する可能性のある疑わしい活動を記録したりするのを防ぎます。 - システム情報収集:完全に展開されると、RATはオペレーティングシステムバージョン、コンピューター名、ランダムに生成された12文字のオブジェクト識別子を含むシステム情報を収集します。この情報は暗号化された形式でC2サーバーに送信され、攻撃者が侵害されたシステムをカタログ化することを可能にします。