Botaa3マルウェアは偽のPyPiPythonパッケージに存在します
最近、ますます多くのサイバー犯罪者が、スクリプト、ブラウザアドオン、またはその他の種類のコンテンツのリポジトリ内に悪意のあるソフトウェアを植え付けています。この最近の例の1つは、悪意のあるPyPiパッケージに存在するように見えるbotaa3マルウェアです。 PyPi(Python Package Index)は、開発者が互いに共有する数百万のPythonコードスニペットとスクリプトのリポジトリです。もちろん、botaa3マルウェアは正当なスクリプトではありません。保護されていないシステムで実行されると、悪意のあるタスクを実行します。
botaa3マルウェアの作成者は、最も人気のあるPyPiパッケージの1つであるboto3の名前を模倣しています。 botaa3マルウェアは、XOR暗号化に依存する非常に難読化されたPyPiパッケージで提供されます。しかし、ペイロードは何を隠しますか?
botaa3マルウェアの内容
スクリプトが起動されると、誤解を招くドメイン名( install.pypi-installer.com)も使用している攻撃者のサーバーに接続します。制御サーバーは、インプラントからいくつかの情報を受け取ります。
- 被害者のIPおよびMacアドレス。
- オペレーティングシステムのバージョン。
- ユーザー名とホスト名。
- ペイロードのプロセスID。
攻撃者は、リモートで送信されたコマンドを介してbotaa3マルウェアを制御できます。このマルウェアは、ファイルのアップロードとダウンロード、ファイルシステムの管理、リモートコマンドの実行、および追加のPythonスクリプトの読み込みを行うことができます。これは、botaa3マルウェアが機能面で非常に柔軟であり、攻撃の可能性をさらに高めることができることを意味します。
botaa3マルウェアおよび同様のペイロードからシステムを保護するには、最新のウイルス対策ソフトウェアを使用する必要があります。また、常に信頼できるソースからコンテンツをダウンロードするようにしてください。ご覧のとおり、犯罪者は正当なサイト、サービス、ファイルの名前を模倣することがよくあります。