PyPIは新しいプロジェクトの作成および新規ユーザー登録を一時停止した。この措置はマルウェアアップロードキャンペーンに対応するためで、Checkmarxが複数の悪意あるパッケージの調査結果を公表している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」(以下、PyPI)は2024年3月28日(現地時間、以下同)、進行中のマルウェアアップロードキャンペーンに対処するため、新しいプロジェクトの作成や新規ユーザー登録の停止を発表した。サービスの一部停止はインシデントが解消された後、約11時間で解除された。
ソフトウェア企業のCheckmarxの調査チームはこの発表に合わせ、マルウェアアップロードキャンペーンを実行している脅威アクターに関連する、複数の悪意あるキャンペーンを調査した。調査によると、脅威アクターはCLI(Common Language Infrastructure)利用時に、ユーザーのタイプミスを誘導してPythonパッケージをインストールさせる「タイポスクワッティング」で被害を拡大しているという。攻撃の詳細とは。
Checkmarxの調査によると、今回のマルウェアアップロードキャンペーンは多段攻撃で、読み込まれる悪意あるペイロードによって暗号ウォレットやWebブラウザからの機密データ(Cookie、拡張機能データなど)、この他、さまざまな資格情報を盗むことを目的としているという。悪意のあるペイロードは再起動後も生き残るように永続化メカニズムが採用されていることも突き止められている。
Checkmarxは2024年3月27〜28日の間に複数の悪意あるPythonパッケージがPyPIにアップロードされたことを確認した。これらパッケージは正規のパッケージ名に似た名称を付けられており、ユーザーをだまして感染させる狙いがあるとみられている。
Checkmarxは、今後もパッケージリポジトリーやソフトウェアサプライチェーンを標的とした同様の攻撃が続く可能性があると警告した。サードパーティー製ライブラリーを使う場合、それが本当に正規のサードパーティー製ライブラリーであるかどうかを確認することが求められる。
Copyright © ITmedia, Inc. All Rights Reserved.