FortiGuard Labs 脅威リサーチ
新たな不正Pythonパッケージ「shaderz」を使ったサプライチェーン攻撃:パート1
フォーティネットの先端研究チームは先日、「shaderz」と呼ばれるPyPI(Python Package Index)パッケージ内でゼロデイ攻撃を発見しました。この攻撃は、フォーティネットがオープンソースエコシステムの監視に使用しているシステムによって2022年12月6日に発見されました。Pythonの公式PyPIリポジトリに掲載されているとおり、このPythonパッケージは2022年12月2日に公開されたものです。私たちが最初に疑念を抱いた点は、公開されたバージョンが1つ(0.0.1)しかないこと、さらにはパッケージに詳細説明や作成者のEメール、ソースページなどが含まれていないことでした。
図1:説明のないプロジェクト
図2:公開履歴
パッケージのsetup.pyインストールスクリプトには不正なコードが含まれており、インストールの過程で実行ファイルをダウンロードし、実行します。
図3:setup.pyスクリプト
特に興味深い要素は次のURLで、これにはさらに詳細な分析が必要です。
https://cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub.exe.
下記のVirusTotalエントリーに示すとおり、ダウンロードURLには次の実行可能バイナリ(SHA 256)が含まれています。33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d.
このダウンロードURLは、これまで他のどの脅威リサーチャーにも検知されていませんが、一部のベンダーはダウンロードされた実行ファイルに「不正」のフラグを付けています。
図4:VirusTotalで未検知のURL
図5:ダウンロード済み実行ファイルを検知しているベンダー
ダウンロードされた実行ファイルは、実行ファイルにコンパイルされたPythonスクリプトのようです。このファイルの詳細な分析結果は、次回のブログ(パート2)で報告します。
フォーティネットは今後も監視を継続し、実環境で見つかった今回のような不正パッケージに対する防御を支援し、未知の送信元による攻撃からお客様を保護します。詳細については、このブログのパート2をお読みください。
フォーティネットのソリューション
FortiGuardアンチウイルスは、このレポートで紹介した不正な実行ファイルを
W32/PossibleThreatとして検知します。
FortiGuardアンチウイルスサービスはFortiGate、FortiMail、FortiClient、FortiEDRによってサポートされます。最新のアンチウイルスアップデートをお使いのお客様は、脅威から保護されています。
FortiGuard Webフィルタリングサービスは、このレポートで紹介したダウンロードURLを「不正」として検知しブロックします。
IOC(Indicators of Compromise:侵害指標)
shaderz-0.0.1[.]tar[.]gz
fd9f944fafb58faf783fdf4f8638d281a429b84cdb119756e6d7d92b31a079de
stub.exe
33df1d9c50a9bd9d3e71dc61c0a7f41f7ca51612e9c3babcea927adde169e62d
不正なURL
cdn[.]discordapp[.]com/attachments/1045000289708687390/1045159487079723058/stub[.]exe
詳しくは、フォーティネットのFortiGuard Labs脅威リサーチ / グローバルインテリジェンス部門、およびFortiGuardのAIを活用したセキュリティサービスのポートフォリオを参照してください。
