PyPIの有害パッケージがGoogle Cloudの認証情報を盗むためmacOSを標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > PyPIの有害パッケージがGoogle Cloudの認証情報を盗むためmacOSを標的に

Threat Report

Google Cloud

macOS

PyPI

PyPIの有害パッケージがGoogle Cloudの認証情報を盗むためmacOSを標的に

Yoshida

Yoshida

2024.07.29

7月27~29日:サイバーセキュリティ関連ニュース

PyPIの有害パッケージがGoogle Cloudの認証情報を盗むためmacOSを標的に

The Hacker News – Jul 27, 2024

PyPIリポジトリ上で、少数のユーザーのGoogle Cloud認証情報を盗むことを目的として、macOSシステムを標的にしている有害なパッケージをCheckmarx社のサイバーセキュリティ研究者が発見した。「lr-utils-lib」と名付けられたこのパッケージは、2024年6月初旬にアップロードされ、削除されるまでの間に59回ダウンロードされている。

このパッケージに含まれるマルウェアは自身がmacOSシステムにインストールされているかどうかをチェックした後、システムの汎用一意識別子(UUID)とあらかじめ定義された64個のハッシュのリストを比較。侵入されたマシンがリストに該当する場合に、指定ディレクトリ内のGoogle Cloud認証情報を含む2つのファイルへのアクセスを試みるという。なお、収集された認証情報はHTTP経由でリモートサーバーに送信されるとのこと。

Checkmarx社によると、LinkedInにパッケージの所有者と一致する名前の偽プロフィールがあり、Apex CompaniesのCEOと偽っていることから、この攻撃にはソーシャルエンジニアリングの要素が含まれる可能性があることも示唆されているという。

現在、このキャンペーンの背後にいるアクターが誰なのかはわかっていない。またこの攻撃のターゲットが個人なのか企業なのかも不明だが、この種の攻撃は企業に大きな影響を与える恐れがあるとのこと。

ウクライナのサイバー攻撃により、ロシア大手銀行のATMサービスが停止

Security Affairs – July 27, 2024

ウクライナ国防省情報総局(HUR)は23日、ロシア国内における複数の銀行のATMに対して大規模なサイバー攻撃を開始したという。ロシアでは、「政治的動機を持つハッカー」の攻撃により、オンラインサービスで広範囲にわたって障害が発生したことがすでに確認されている。

このハッキング活動はロシアとウクライナの間で広がる対立の最中に行われているサイバーオペレーションの一環であり、被害を受けた銀行にはDom.RF、VTB銀行、アルファバンク、ズベルバンク、ライファイゼン、ロシア農業銀行、ロスバンク、ガスプロムバンク、ティンコフ銀行、iBankが含まれる。

この攻撃により、銀行の顧客のほとんどがATMを利用しようとした際にデビットカードやクレジットカードを即座にブロックされたほか、銀行の決済システムやモバイルアプリケーションが凍結し、個人の口座が停止した上、公共交通機関における支払いもできなくなったという。HURはキーウポストの取材に対し、この攻撃は現在も続いており、当分は終わらないと語った。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ