Botaa3マルウェア

別の脅威的なパッケージがPythonPackage Index（PyPI）リポジトリで発見されました。それが削除される前に、脅威はなんとか約130のダウンロードを積み上げていました。このパッケージは、Python用の広く普及しているアマゾンウェブサービス（AWS）ソフトウェア開発キット（SDK）である「boto3」という名前を模倣しようとして、「botaa3」という名前が付けられました。

サイバーセキュリティの専門家は脅威のコードを分析し、その悪質な機能を発見しました。 botaa3パッケージ（正常に展開されると、攻撃者は侵害されたシステム上で任意のコードを実行し、効果的に制御できるようになります。

技術的な詳細

botaa3パッケージは、base64エンコーディングとビット単位のXOR暗号化を使用したいくつかのレベルの難読化を特徴としていました。さらに、正規のboto3パッケージのコード全体も含まれています。実際、脅威は、疑惑をさらに提起することを回避するために、そのアクションの一部としてboto3をインストールします。コードには、2020年11月17日に設定された「KillDate」も埋め込まれています。この日付を過ぎると、botaa3パッケージは動作しなくなります。

脅迫能力

マルウェアが最初に実行するアクションの1つは、コマンドアンドコントロール（C2、C＆C）サーバーに確認することです。このステップの間に、botaa3は被害者のシステムから取得したさまざまな情報を盗み出します。データには、IPアドレス、OSとアーキテクチャの詳細、アカウントの資格情報、ホスト名、FQDN（完全修飾ドメイン名）などが含まれます。

その後、botaa3は着信コマンドを待ちます。攻撃者は、ファイルの収集または追加のダウンロード、ファイルシステムの操作（ファイルとフォルダーの削除）、リバースシェルのオープン、追加のPythonモジュールとスクリプトのロードなどを行うことができます。攻撃者は、マルウェアにその活動を停止して置くように指示することもできます。睡眠状態。

botaa3の脅威の存在が通知された後、PyPIセキュリティチームはほぼ即座に行動を起こし、脅威のパッケージを削除しました。