pymafka?
PyKafkaというものがあります。
Apache Kafkaというスケーラビリティに優れた分散メッセージキューがあるのですが、この機構のPython用のクライアント動作ができるモジュールです。
じゃ、pymafkaってなんでしょう。
はい、PyKafkaのタイポスクワッティングです。
うろ覚えの人を誘い込みます。
セキュリティ研究者に比較的早期に発見されPyPIに報告がされた関係でこのタイポスクワッティングの公開は早々に削除されました。
しかし削除される前に約300のダウンロードが実行されてしまいました。
感染するとどうなるのでしょう。
こういう感じです。
- pipでインストール
パッケージ名をうろ覚えのひとがPyKafkaを入れるつもりで誤って「pip install pymafka」などと実行します。
公開が停止されていない段階の場合、これでそのパッケージは手元に持ってこられ、インストール処理が実施されます。 - マルチプラットフォーム
このマルウェアは複数の環境がサポートされています。
インストールの際に実行される処理の中で環境の判別が行われます。
Windows、macOS、Linuxがサポートされています。
環境に適した侵害行為が開始されます。 - トロイの設置
環境に適したトロイを設置します。
Windowsが対象の場合に設置されるトロイはCobalt Strikeです。
何でも実行できそうな感じがします。
名前のうろ覚えは本当に怖いです。
うろ覚えの場合だけでなく、キーボードをタイピングする際にミスタッチしてしまうだけで同じようなことになってしまいます。
運よくその間違った名前のパッケージが存在しない場合は単にコマンドが失敗するだけで正しいものを入力しなおせばよいのですが、間違った名前のパッケージが存在してしまうとそれがインストールされてしまいます。
本人は間違った名前を入れたつもりはありませんからしばらくそのままになってしまうかもしれません。
気をつけないといけませんね。
参考記事(外部リンク):New ‘pymafka’ malicious package drops Cobalt Strike on macOS, Windows, Linux
blog.sonatype.com/new-pymafka-malicious-package-drops-cobalt-strike-on-macos-windows-linux
