悪意あるPython コードを用いたPyPIに対する新しい攻撃、発覚

ReversingLabsはこのほど、「When byte code bites: Who checks the contents of compiled Python files?」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージがあったと伝えた。ReversingLabsは、コンパイルされたPythonコードを悪用して、セキュリティツールの検出を回避する新たな攻撃を発見したと説明している。

2023年4月17日に「fshec2」という名前のパッケージが発見された。fshec2には"_init_.py"、"main.py"、"full.pyc"という3つのファイルしか含まれておらず、コンパイル済みのPythonファイルである"full.pyc"に悪意のあるコードが含まれていることが判明している。

このPYCファイルをリバースエンジニアリングしたところ、ユーザー名、ホスト名、ディレクトリのリストを収集する機能やスケジュールされたタスクやcronjobを使用して実行するように設定されたコマンドをリモートサーバから取得する機能が組み込まれていることがわかった。また、コマンド＆コントロール(C2: Command and Control)サーバのコマンドパスで指定されているリモートサーバからコマンドをダウンロードする機能が提供されていることも確認されている。

Pythonファイル(.pyファイル)ではなくコンパイル済みのPythonファイル(.pycファイル)に悪意のある機能を含めた攻撃は、Pythonファイルのみをスキャンするほとんどのセキュリティツールで見逃されてしまう可能性があると指摘されている。

ReversingLabsは、この種の攻撃が今後、別のサプライチェーンのリスクをもたらすことになるとも述べている。なお、特定されたこのパッケージはPyPIセキュリティチームに報告されており、同日、PyPIリポジトリから削除されたという。