PyPiマルウェア検出：Discordトークンを盗んでマルウェアを拡散

今月初め、安全研究者はPyPiのマルウェアを特定しました。このマルウェアは、ユーザーの資格情報、アプリのクッキー、履歴、その他の機密データを漏洩しました。研究データによれば、攻撃者は悪意のあるパッケージをThe Python Package Index（PyPI）にアップロードしています。PyPIはオープンソースのPythonパッケージの大規模なリポジトリです。目標は、偽の機能やRobloxツールを提供し、ユーザーをだますことです。実際には、マルウェアは保存されたデータを盗むことを試みます。実行されると、Google Chrome、Firefox、Operaなどのブラウザを狙い撃ち、Discordをも危険にさらし、アプリのプロセスに持続的な悪意のあるエージェントを注入します。

PyPiマルウェアを検出する

組織がインフラストラクチャをよりよく保護するために、我々の精通したThreat Bounty開発者 Aytek Aytemur は、最近、効率的なPyPiマルウェア検出を可能にする専用のSigmaルールをリリースしました。セキュリティチームは、SOC PrimeのDetection as Codeプラットフォームからこれと他の関連ルールをダウンロードできます。

新しいPyPiマルウェア（via process_creation）

このルールはMITRE ATT&CK®フレームワークv.10に整合しており、偽装（T1036）およびスケジュールされたタスク/ジョブ（T1053）としての主要な技術を用いて、ディフェンス・エベージョンと実行の戦術に対処します。

をクリックして、 SOC Primeプラットフォームで見る ボタンを押して膨大なサイバー脅威検出コンテンツライブラリにアクセスしてください。すべてのルールはMITRE ATT&CKフレームワークにマッピングされ、徹底的にキュレーションされ、検証されています。組織のセキュリティデータをより効率的に調べようとしているSOCの専門家は、脅威ハンティング、脅威検出、サイバー脅威インテリジェンスのための業界初の検索エンジンの利点を活用できます。このツールをお試しになりたい方は、 検索エンジンにドリルダウン ボタンを押してください。

SOC Primeプラットフォームで見る 検索エンジンにドリルダウン

PyPiマルウェア分析

PyPiは大企業や小企業を問わずオープンソースのリポジトリとして非常に人気があります。脅威アクターは、何百万ものユーザー間での人気を利用して、Pythonベースのプロジェクトに利益をもたらすような合法的なオファーを模倣する悪意のあるパッケージを配布します。

リポジトリを発射点とする現在の攻撃の大波の中で、攻撃者はさまざまな手法を駆使してマルウェアを仕込んでいます。Windowsホストを狙った悪意のあるパッケージの配布の場合、起動したマルウェアは利用可能なデータを盗み、Discordのリソースをハイジャックして、さらにエグゼキュータブルをダウンロードします。武器化されたパッケージの名前は次のとおりです：Free-net-vpnとFree-net-vpn2、Test-async、Ascii2text、Pyg-utils、Pymocks、PyProto2、Zlibsrc、WINRPCexploit、Browserdiv。研究者は、リポジトリから削除されたにもかかわらず、多くのユーザーがシステム内にこれらのパッケージをいまだに保存している可能性があると警告しています。

最近、PyPIを利用して精巧な脅威を配布する攻撃者の報告がさらに集まってきています。違法な クリプトマイナーとして被害システムを感染させる手法が現在増加 trendしています。

SOC Primeは防御の難しいシステム保護を持続するための必須の解決策を提供します。業界のリーダーと手を組み、あなたのSigmaおよびYARAルールを共有して世界をもっと安全にしませんか？あなたの貴重な貢献に対する報酬を受け取るために、私たちのThreat Bounty Programに参加しましょう！