PyPIが登録を一時停止、悪意あるパッケージの大量アップロードに対抗
2024年4月1日(月)9時49分 マイナビニュース
Checkmarxは3月28日(米国時間)、「PyPi Is Under Attack」において、Pythonのパッケージリポジトリ「PyPI」が進行中のサイバー攻撃に対処するためユーザーの新規登録とプロジェクトの作成を一時的に停止したと伝えた。
○悪意のあるパッケージが大量登録
Checkmarxによると、今回確認されたサイバー攻撃において、悪意のある複数のPythonパッケージがPyPIに一斉にアップロードされたという。これらPythonパッケージはsetup.pyファイルに悪意のあるコードを含んでおり、パッケージのインストール時に情報窃取マルウェアをインストールする。このマルウェアは永続性を持ち、暗号資産ウォレット、ブラウザの機密情報、その他のさまざまな認証情報を窃取するとされる。
アップロードされた悪意のあるPythonパッケージは合計で555件だという。いずれも似た名称のパッケージ名やランダム性のあるユーザー名を使用しており、自動化された手法でパッケージを生成し、アップロードした可能性がある。これらパッケージはすでにリポジトリから全て削除されている。
ユーザーの新規登録およびプロジェクトの作成停止は2024年3月28日午前2時16分(協定世界時)から同日の12時56分(協定世界時)まで10時間以上にわたり実施された。現在は正常にサービスを提供している。
Checkmarxはアップロードされた悪意のあるパッケージの一覧を公開しており、影響を受けた可能性のあるユーザーは一覧から被害の有無を確認することができる。また、マルウェアの分析において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○悪意のあるパッケージが大量登録
Checkmarxによると、今回確認されたサイバー攻撃において、悪意のある複数のPythonパッケージがPyPIに一斉にアップロードされたという。これらPythonパッケージはsetup.pyファイルに悪意のあるコードを含んでおり、パッケージのインストール時に情報窃取マルウェアをインストールする。このマルウェアは永続性を持ち、暗号資産ウォレット、ブラウザの機密情報、その他のさまざまな認証情報を窃取するとされる。
アップロードされた悪意のあるPythonパッケージは合計で555件だという。いずれも似た名称のパッケージ名やランダム性のあるユーザー名を使用しており、自動化された手法でパッケージを生成し、アップロードした可能性がある。これらパッケージはすでにリポジトリから全て削除されている。
ユーザーの新規登録およびプロジェクトの作成停止は2024年3月28日午前2時16分(協定世界時)から同日の12時56分(協定世界時)まで10時間以上にわたり実施された。現在は正常にサービスを提供している。
Checkmarxはアップロードされた悪意のあるパッケージの一覧を公開しており、影響を受けた可能性のあるユーザーは一覧から被害の有無を確認することができる。また、マルウェアの分析において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
