セキュリティ · 1 min read · Dec 01, 2025

Cloudflareトンネリングを介してRATマルウェアをインストールする6つの悪意のあるPyPiパッケージ

マルウェア

Phylumセキュリティ会社の研究チームは、Python Package Indexで6つの悪意のあるパッケージを発見しました。これらは、リモートアクセスのためにファイアウォールの制限を回避するためにCloudflareを使用しながら、情報を盗むリモートアクセス型トロイの木馬マルウェアをインストールしていました。

Phylumの研究者によると、これらの悪意のある拡張機能は12月22日にパッケージリポジトリで最初に発見され、攻撃者は2022年の最終日まで他のパッケージをアップロードし続けました。

これらの悪意のあるパッケージは、ブラウザに保存されている機密ユーザーデータを盗もうとし、その後シェルコマンドやキーロガーを実行して、入力された秘密データ(パスワード、ログイン情報、暗号通貨ウォレットなど)を盗みます。

以下は、Phylumの研究者が発見した6つの悪意のあるパッケージのリストです。

  • discord-dev
  • style.py
  • discorder
  • pythonstyles
  • easytimestamp
  • pyrologin

現在、これらの6つの悪意のあるパッケージはすべてPython Package Indexから削除されており、ユーザーがすでにこれらのパッケージをダウンロードしている場合、感染の残骸を手動でアンインストールする必要があります。

setup.py、インストーラーには64ビットのエンコードされた文字列が含まれており、これがPowershellスクリプトにデコードされます。その後、setupはErrorAction.SlientlyContinueを設定し、スクリプトがエラーに遭遇しても続行できるようにして、開発者に特定されるのを避けます。

その後、PowershellスクリプトはリモートリソースからZIPファイルをダウンロードし、それをローカルの一時ディレクトリに解凍し、さまざまな依存関係とPythonパッケージをインストールして、リモートアクセスとスクリーンショットの取得が可能になるようにします。

さらに、‘flask’と‘flask cloudflared’のフェーズの途中で静かにインストールされる2つのPythonパッケージがあります。

ZIPサーバー上のファイルserver.pywは、最初にシステムの再起動間での持続性を確立するために4つのスレッドを開始します。2つ目は、オニオンウェブサイトへのpingをプロキシし、キーストロークロガーを開始し、最後に感染したコンピュータから情報を盗みます。

盗まれたデータには、パスワード、ログイン情報、暗号通貨ウォレット、ブラウザのクッキー、Telegramデータ、トークンなどが含まれます。これらの情報はすべてtransfer[.]stを通じて脅威の攻撃者に送信され、オニオンウェブサイトへのpingが情報盗難の実行を確認します。

Cloudflareトンネリングを介してRATマルウェアをインストールする6つの悪意のあるPyPiパッケージ 1

これがすべて完了すると、スクリプトはZIPアーカイブに保存されているcftunnel.pyを実行します。これは、被害者のコンピュータにCloudflareトンネルクライアントをインストールするために使用されます。

知らない方のために、Cloudflareトンネルは、ユーザーがサーバーからCloudflareインフラストラクチャへの双方向トンネルを作成できるサービスです。

これにより、ウェブサーバーはファイアウォールの設定やポートの開放、その他のルーティングの問題なしに、Cloudflareを通じて即座に公開可能になります。攻撃者は、このトンネルを使用して、妥協されたマシン上で実行されているリモートトロイの木馬にリモートアクセスします。これは‘Flask’スクリプトとして実行され、デバイスがファイアウォールで保護されていてもアクセス可能です。

攻撃者は、.ratとしても知られる“flask”アプリを使用して、ユーザー名やIPアドレスを盗み、妥協されたマシン上でシェルコマンドを実行し、特定のファイルディレクトリを外部に持ち出し、Pythonコードを実行し、さらにペイロードをダウンロードまたは開始します。

また、リモートアクセス型トロイの木馬は、被害者が何かを入力したりマウスを動かしたりするとすぐに始まる1秒間に1フレームのレートでライブデスクトップフィードをサポートしています。

Cloudflareトンネリングを介してRATマルウェアをインストールする6つの悪意のあるPyPiパッケージ 2

残念ながら、Python Package Indexからすべてのファイルを削除したり、それらをアップロードしたアカウントを禁止したりしてもあまり効果がありません。なぜなら、脅威の攻撃者は新しい名前で再び戻ってくる可能性があるからです。

したがって、これらの悪意のあるPythonパッケージに感染している場合は、コンピュータをスキャンし、定期的にログインまたは訪問するウェブサイトのすべてのパスワードを変更することをお勧めします!

読む: 攻撃者がGoogle広告プラットフォームを介してマルウェアを広めるために正当なソフトウェアサイトをコピー

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。