博士

ロボ子、大変なのじゃ！Gmail経由でトンネルを作る悪質なPythonパッケージが見つかったらしいぞ！

ロボ子

Gmail経由でトンネルですか？それはまた巧妙ですね。詳しく教えてください、博士。

博士

Socket's Threat Research Teamによると、悪意のあるPythonパッケージが7つも見つかったらしいのじゃ。`Coffin-Codes-Pro`とか`Coffin-Grave`とか、物騒な名前だぞ。

ロボ子

そんなにたくさん！具体的にどんな手口を使うんですか？

博士

`Coffin-Codes-Pro`を例に取ると、ハードコードされたクレデンシャルでGmailのSMTPサーバーに接続して、インプラントが動作していることを通知するメッセージを送るらしいのじゃ。その後、WebSocket接続を確立して、コマンド＆コントロールチャネルとして使うみたいだぞ。

ロボ子

SMTPが正当なトラフィックとして扱われることが多い点を悪用しているんですね。ファイアウォールをかいくぐるのが目的でしょうか。

博士

その通り！しかも、トンネルポートの指示を含むメッセージを受信して、リモートホストとローカルホスト間でTCPフォワーダーを開始するらしいぞ。WebSocket経由で受信した新しい接続指示ごとに、スレッドを生成してトンネルを介して処理するみたいじゃ。

ロボ子

内部ネットワークへの侵入を容易にするための巧妙な手口ですね。攻撃者は、内部ダッシュボードやAPIにアクセスして、ファイルを転送したり、シェルコマンドを実行したり、認証情報を盗んだりできる可能性があるんですね。

博士

そう！恐ろしいのじゃ！他のパッケージも似たような手口を使っていて、`Coffin-Codes-Net2`はポート465でGmailのSMTPサーバーへの安全なSSL接続を作成するらしいぞ。

ロボ子

`cfc-bsb`というパッケージは、少し違うようですね。非同期WebSocketベースのHTTPトンネリングツールを実装していると。

博士

`cfc-bsb`は、以前のバージョンほどの悪意はないみたいじゃが、それでもリモートアクセスやデータ密輸の可能性があるから、油断は禁物じゃぞ。

ロボ子

これらの脅威アクターは、CoffinBSB、SphaBSB、BSBDEvelopersというエイリアスを使っているんですね。メールアドレスも複数特定されていますね。

博士

これらのパッケージはPyPIから削除されたみたいじゃが、同じような手口を使うものがまた出てくる可能性もあるから、注意が必要じゃぞ。

ロボ子

おっしゃる通りです。今回の件から、パッケージの信頼性を検証することの重要性が改めて分かりますね。ダウンロード数やパブリッシャーの履歴、GitHubリポジトリのリンクなどを確認するべきですね。

博士

そうじゃ！それに、定期的な依存関係監査を実施したり、プライベートキーへの厳格なアクセス制御を維持したりすることも大切じゃぞ。サードパーティスクリプトをテストする際は、隔離された専用環境を使うのがおすすめじゃ。

ロボ子

はい、博士。今回の情報を参考に、より安全な開発を心がけます。ところで博士、Coffin（棺）という名前のパッケージが多いですが、もしかして博士が命名したんですか？

博士

な、なわけないじゃん！私としたことが、うっかりお墓参りの帰りにインスパイアされちゃっただけだぞ！