Pythonの偽パッケージがOSSリポジトリで見つかる 日本のユーザーも被害：セキュリティニュースアラート

Checkmarxは、Pythonパッケージを模倣した偽パッケージがOSSに半年以上存在していたと発表した。このパッケージは悪意あるコードを含み開発者の間で4000回以上ダウンロードされている。

[後藤大地，有限会社オングス]

　Checkmarxは2023年10月16日（現地時間）、Python開発者を狙う偽パッケージが半年間、オープンソースソフトウェア（OSS）リポジトリに存在していたと指摘した。偽物のリポジトリは正規パッケージに酷似した名前で、開発者が誤ってインストールすることを狙っているとみられる。

Pythonパッケージを模倣した偽パッケージが見つかった（出典：Checkmarx.comのWebサイト）

Pythonの偽パッケージが出回る　日本でも被害が発生中

　サイバー攻撃者はOSSのリポジトリやエコシステムを積極的に悪用している。これらのなかでもPythonパッケージは悪用されやすい対象の一つであり、数多くの偽パッケージが発見されている。

　Checkmarxが発見した偽パッケージは以下の通りだ。

• pyefflorer
• pyhulul
• pyjio
• pyioler
• pytasler
• kokokoako
• pyalsogkert
• pyioapso
• pykokalalz
• pyhjdddo
• pyktrkatoo
• pytarlooko
• pystallerer
• pykooler
• pyowler
• pylioner
• pystob
• pyminor
• pyjoul
• pyghoster
• pypiele
• gogogolokl
• lalalaopti
• pyclack
• pywolle
• pywhool
• pywool

　Checkmarxは類似性を示すため以下で、偽のパッケージ名と、正規のパッケージ名、その週間のダウンロード数を取り上げている。

• pystallerer（正規：　pyinstaller、週間ダウンロード数：　4004万5205）
• pyioler（正規：　pysolr、週間ダウンロード数：　849万7960）
• pystob（正規：　pyston、週間ダウンロード数：　388万0866）
• pyhulul（正規：　pyhull、週間ダウンロード数：　83万9275）
• pyowler（正規：　prowler、週間ダウンロード数：　75万4469）

　サイバー攻撃者は開発者が誤って偽パッケージをインストールするように、似た名前でパッケージを作成している。悪意のあるパッケージは4000回以上ダウンロードされていた。ダウンロードがされた国の中には日本も挙げられている。

　偽のパッケージにはsetup.pyに有害なペイロードを運ぶためのコードが仕込まれており、インストール時に悪意あるコードが実行される可能性がある。さらに、画像ファイルの中に悪意あるペイロードを隠蔽（いんぺい）するステガノグラフィ（Steganography）が使われており、高いステルス性が実現されている。

　Checkmarxが発見したこれらの悪意あるパッケージの最終的な目標は侵害したシステムに永続性を確保し、機密情報の窃取および仮想通貨から金銭的利益を達成することだと分析されている。

　OSSのパッケージやモジュール、ライブラリ、プラグイン、拡張機能などに関するエコシステムはサイバー攻撃者にとって攻撃チャンネルとなっている。開発者はこうしたシステムにサイバー脅威が存在する可能性があることを認識し、適切に対応することが求められる。