PyPIにマルウェアキャンペーン 悪意あるパッケージのダウンロードに注意:セキュリティニュースアラート
PyPIは新しいプロジェクトの作成および新規ユーザー登録を一時停止した。この措置はマルウェアアップロードキャンペーンに対応するためで、Checkmarxが複数の悪意あるパッケージの調査結果を公表している。
プログラミング言語「Python」のサードパーティーソフトウェアリポジトリである「Python Package Index」(以下、PyPI)は2024年3月28日(現地時間、以下同)、進行中のマルウェアアップロードキャンペーンに対処するため、新しいプロジェクトの作成や新規ユーザー登録の停止を発表した。サービスの一部停止はインシデントが解消された後、約11時間で解除された。
PyPIを狙ったマルウェアキャンペーン ユーザーのミスを誘導か
ソフトウェア企業のCheckmarxの調査チームはこの発表に合わせ、マルウェアアップロードキャンペーンを実行している脅威アクターに関連する、複数の悪意あるキャンペーンを調査した。調査によると、脅威アクターはCLI(Common Language Infrastructure)利用時に、ユーザーのタイプミスを誘導してPythonパッケージをインストールさせる「タイポスクワッティング」で被害を拡大しているという。攻撃の詳細とは。
Checkmarxの調査によると、今回のマルウェアアップロードキャンペーンは多段攻撃で、読み込まれる悪意あるペイロードによって暗号ウォレットやWebブラウザからの機密データ(Cookie、拡張機能データなど)、この他、さまざまな資格情報を盗むことを目的としているという。悪意のあるペイロードは再起動後も生き残るように永続化メカニズムが採用されていることも突き止められている。
Checkmarxは2024年3月27〜28日の間に複数の悪意あるPythonパッケージがPyPIにアップロードされたことを確認した。これらパッケージは正規のパッケージ名に似た名称を付けられており、ユーザーをだまして感染させる狙いがあるとみられている。
Checkmarxは、今後もパッケージリポジトリーやソフトウェアサプライチェーンを標的とした同様の攻撃が続く可能性があると警告した。サードパーティー製ライブラリーを使う場合、それが本当に正規のサードパーティー製ライブラリーであるかどうかを確認することが求められる。
関連記事
- Pythonの偽パッケージがOSSリポジトリで見つかる 日本のユーザーも被害
Checkmarxは、Pythonパッケージを模倣した偽パッケージがOSSに半年以上存在していたと発表した。このパッケージは悪意あるコードを含み開発者の間で4000回以上ダウンロードされている。 - ビジネスメール詐欺は国境を越えた 調査から判明した日本企業の課題
日本プルーフポイントはFBIが発表したインターネット犯罪レポート「2023 Internet Crime Report」を解説した。投資詐欺が最大の脅威であり、ビジネスメール詐欺が2番目に大きい被害をもたらしていると報告している。 - 日本企業はソーシャルエンジニアリング攻撃への意識が低い 実態調査で判明
KnowBe4 Japanは日本やオーストラリア、シンガポールのIT意思決定者を対象にした実態調査の結果を発表し、日本がソーシャルエンジニアリング攻撃に対するセキュリティ意識向上の取り組みに消極的であることを明らかにした。 - XDRの運用をDellのエキスパートが支援 CrowdstrikeがDellとの協業を強化
CrowdstrikeはDell Technologiesとの戦略的パートナーシップを拡大し、Falcon XDRプラットフォームでDellのマネージドセキュリティサービスを提供する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.