pymafka?

ほぼこもセキュリティニュース By Terilogy Worx

PyKafkaというものがあります。
Apache Kafkaというスケーラビリティに優れた分散メッセージキューがあるのですが、この機構のPython用のクライアント動作ができるモジュールです。
じゃ、pymafkaってなんでしょう。
はい、PyKafkaのタイポスクワッティングです。
うろ覚えの人を誘い込みます。

セキュリティ研究者に比較的早期に発見されPyPIに報告がされた関係でこのタイポスクワッティングの公開は早々に削除されました。
しかし削除される前に約300のダウンロードが実行されてしまいました。
感染するとどうなるのでしょう。
こういう感じです。

  • pipでインストール
    パッケージ名をうろ覚えのひとがPyKafkaを入れるつもりで誤って「pip install pymafka」などと実行します。
    公開が停止されていない段階の場合、これでそのパッケージは手元に持ってこられ、インストール処理が実施されます。
  • マルチプラットフォーム
    このマルウェアは複数の環境がサポートされています。
    インストールの際に実行される処理の中で環境の判別が行われます。
    Windows、macOS、Linuxがサポートされています。
    環境に適した侵害行為が開始されます。
  • トロイの設置
    環境に適したトロイを設置します。
    Windowsが対象の場合に設置されるトロイはCobalt Strikeです。
    何でも実行できそうな感じがします。

名前のうろ覚えは本当に怖いです。
うろ覚えの場合だけでなく、キーボードをタイピングする際にミスタッチしてしまうだけで同じようなことになってしまいます。
運よくその間違った名前のパッケージが存在しない場合は単にコマンドが失敗するだけで正しいものを入力しなおせばよいのですが、間違った名前のパッケージが存在してしまうとそれがインストールされてしまいます。
本人は間違った名前を入れたつもりはありませんからしばらくそのままになってしまうかもしれません。
気をつけないといけませんね。

参考記事(外部リンク):New ‘pymafka’ malicious package drops Cobalt Strike on macOS, Windows, Linux
blog.sonatype.com/new-pymafka-malicious-package-drops-cobalt-strike-on-macos-windows-linux

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。