オープンソースでのマルウェアの蔓延

blog.phylum.io

 

Python コミュニティによって開発および共有されているソフトウェアを見つけてインストールするのに役立つ「PyPI」だが、少数の悪意のあるパッケージを配布する者たちのおかげで、オープンソース全体が影響を受けてしまうのは、とても不憫。

しかし、アマチュアマルウェア作成者の餌食になりたくないのであれば、PyPIで共有されているすべてのパッケージに対して警戒を怠らないようにする必要がある。

ダークウェブで販売されているフィッシングサービス「EvilProxy」

www.darkreading.com

 

現在、ダークウェブで販売されているフィッシングサービス「EvilProxy」が、ユーザーセッションをプロキシ(クライアントの代理にアクセスするサーバー)に変えて二要素認証(2FA)を回避する手口を使用していることが、研究者によって明らかになっていることが報告されている。この「EvilProxy」は、監視やトラフィック分析から隠すことを目的とした「TOR」 ネットワークでホストされているダーク Web でも利用でき、キットは月額400ドルで利用できる。

 

なお、これを用いて、AppleDropboxFacebook、GoDaddy、GoogleInstagramMicrosoftTwitter、Yahoo などのトップ テクノロジー企業のユーザーアカウントを侵害するように設計されたフィッシング リンクを生成できる。

 

thehackernews.com

 

ちなみに、この「EvilProxy」は、FacebookやLinkedInなど、標的とするオンラインサービスに基づいてEvilProxyをサブスクリプションベースで購入することができ、サイバー犯罪者は、プランの説明に従って、特定の期間だけ使用することができる。購入するためには、Telegram上のオペレーターを介し、資金を監視やトラフィック分析から隠すことを目的とした「TOR」でホストされている顧客ポータルのアカウントに手動で入金するという取り決めで、EvilProxyに支払うことができるようだ。

最後に、「EvilProxy」はフィッシング詐欺の進化を表しており、リバース プロキシ(クライアントとサーバの間で応答を代理する)アプローチは APT (Advanced Persistent Threat) やサイバー スパイ活動で一般的に見られるもの。「EvilProxy」の登場により、この機能がサイバー犯罪市場で広く利用できるようになっている。これは危険である。

 

※ APT (Advanced Persistent Threat)とは、サイバー犯罪者が標的のネットワークへの不正アクセスを取得、さらに維持し、長い期間検出されないままになる、コンピューター ネットワークに対するサイバー攻撃である。

 

 

PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行する

PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行するという警告の記事が公開されていましたので、こちらを共有します。

thehackernews.com

PyPIPython Package Index)のパッケージのほぼ3分の1が、ダウンロード時に自動でコードを実行するトリガーになっていることが明らかとなっており、開発者がパッケージをダウンロードしただけで、それがもし悪意のあるパッケージだった場合に、コンピュータに侵入し、ランサムウェアなどに感染させられる可能性が高いと警告している。

Pythonのパッケージをインストールする方法の1つは、「pip install」コマンドを実行することであるが、悪意のあるパッケージが増加することで、他のインストール手段が必要になってくる。

 

 

【フィッシング詐欺メール】PayPay銀行の個人情報の更新専用URLのご案内

 

Gmailに「個人情報の更新専用URLのご案内」というメールが届いていた。しかも、宛先が「PayPay銀行(jaoannetbank.co.jp@prplmgf.cn)」である。明らかにフィッシング詐欺メールである。今回は、注意喚起のために、内容を公開する。

Gmailだと、このようなメールが届いた場合に「迷惑メール」ボックスに自動的に振り分けられるようになっているので、被害に合うことはまずないだろう。また「このメールにはご注意ください」、「個人情報を不正入手するために、同様のメールが使用されたことがあります。メールに含まれるリンクのクリックや添付ファイルのダウンロード、または返信に個人情報を記載することは避けてください。」と表示されるので、間違っても個人情報を掲載してはいけない。

 

あと、今回はこのメールの本文に記載されていた「llcrm.cn」や「mfkbnhl.cn」というドメインを、Kali Linuxを用いて調査してみた。あと、高度なIPトラッカー ツールであるtrack-ip(

https://github.com/htr-tech/track-ip

)も用いる。

調査してわかったことは、「China Unicom beijing province Network(中国聯合通信中国聯通)」という中国の国営電気通信事業者を利用している可能性があること。しかも、この中国聯通は、プリペイドSIMカードを販売しているようなので、プリペイドだと、相手が特定できない。相手も一枚上手ということか。

また、「Cloudflarenet」を利用していること。Cloudflarenetをうまく使えば、特定されないことを相手はわかっているような気がする。逆手にとられている。

 

複数のバックドア付きPythonライブラリがAWSの秘密と鍵を盗んでいることが発覚

thehackernews.com

複数のバックドア付きPythonライブラリがAWSの秘密と鍵を盗んでいることが発覚という記事を紹介します。

上記の記事では、AWSの認証情報と環境変数を一般に公開されたエンドポイントに流出させるように設計された悪意のあるPythonパッケージを、サードパーティの公式ソフトウェアリポジトリで多数発見されたことを伝えている。Sonatypeのセキュリティ研究者によると、パッケージのリストには、loglib-modules、pyg-modules、pygrata、pygrata-utils、およびhkg-sol-utilsが含まれています。これらのパッケージとエンドポイントは、現在削除されている。

これらのパッケージのいくつかは、あなたの秘密を読み取り、流出させるコードを含んでいるという。パッケージは削除されているようだが、このようなパッケージが、今度も公開されないという保証はないので、気をつけたいところである。

 

デジタルセキュリティとプライバシーを保護するためのチェックリスト

Githubで、デジタルセキュリティとプライバシーを保護するためのチェックリストを公開されている方がいたので、共有します。

 

github.com

「Google Play プロテクト」でデバイスが不正に利用されていますと表示される。

Google Play プロテクト」でデバイスが不正に利用されていますと表示されました。

 

「デバイスが不正に使用されています」、「有害なアプリが1個見つかりました」と表示され、「有害なアプリを無効にしました」と表示されました。

「News in Levels」というアプリは以前から英語の学習のために入れていたアプリですが、まさかプロテクトが反応するとは思っていませんでした。

「これは偽のアプリです。デバイスを乗っ取ったりデータを盗んだりしようとしています。」と書かれており、以前から「News in Levels」は使っていましたが、このようにプロテクトが反応したことはなく、なぜもっと早く反応しないのか疑問。

念の為に「アンインストール」ボタンをクリックし、アプリをアンインストールしました。

今のGooglePlayは、怪しいアプリがあると、自動で有害なアプリを無効にしてくれるので、こちら側が何かをすることはあまりない。