PyPI上の偽Solanaライブラリが暗号資産ウォレットを狙う!開発者は要注意

PyPI上の偽Solanaライブラリが暗号資産ウォレットを狙う!開発者は要注意 - innovaTopia - (イノベトピア)

Last Updated on 2024-08-12 06:40 by admin

2024年8月4日、Python Package Index (PyPI)リポジトリに、Solanaブロックチェーンプラットフォームのライブラリを装った悪意のあるパッケージ「solana-py」が公開された。

このパッケージは、正規の「solana」パッケージ(バージョン0.34.3)を模倣し、バージョン0.34.3、0.34.4、0.34.5を公開した。

Sonatypeの研究者Ax Sharmaによると、このパッケージは8月4日から8月10日までの間に1,122回ダウンロードされた。悪意のあるコードは「init.py」スクリプトに注入され、システムからSolanaブロックチェーンウォレットキーを収集し、攻撃者が運営するHugging Face Spacesドメイン(treeprime-gen.hf.space)に送信する。

この攻撃は、正規のライブラリ「solders」がPyPIドキュメントで「solana-py」を参照していることから、開発者が誤って悪意のあるパッケージをダウンロードする可能性があり、サプライチェーンリスクをもたらす。

Sonatypeのセキュリティ研究チームは、この脅威をsonatype-2024-3214として追跡している。パッケージの作成者は「treefinder」と名乗っており、正規のプロジェクトの管理者「michaelhly」とは異なる。

この事件は、攻撃者がコミュニティ主導のプラットフォームを悪用してマルウェアを配布し、大規模なサプライチェーン攻撃を引き起こす可能性があることを示している。

from:Rogue PyPI Library Solana Users, Steals Blockchain Wallet Keys

【編集部解説】

今回のニュースは、オープンソースの世界で頻発している悪意あるパッケージの問題を浮き彫りにしています。Python Package Index (PyPI)という、多くの開発者が日常的に利用するリポジトリで起きた事件だけに、その影響は看過できません。

まず、この事件の特筆すべき点は、攻撃者が正規のライブラリ名を巧妙に模倣したことです。「solana」と「solana-py」という微妙な違いを利用し、開発者を騙そうとしました。これは「タイポスクワッティング」と呼ばれる手法の一種で、近年増加傾向にある攻撃方法です。

さらに注目すべきは、攻撃者が正規のコードをそのまま使用しつつ、悪意のあるコードを注入した点です。これにより、パッケージの機能は正常に動作するため、被害者は気付きにくくなります。

この手法は、ソフトウェアサプライチェーン攻撃の典型例と言えるでしょう。BlackBerryの調査によると、2024年には75%以上のソフトウェアサプライチェーンがサイバー攻撃を経験しているとのことです。この数字は、問題の深刻さを物語っています。

では、なぜこのような攻撃が可能になるのでしょうか。PyPIは、誰でも自由にパッケージをアップロードできるオープンな環境です。この自由さが、イノベーションを促進する一方で、セキュリティリスクも内包しているのです。

この問題に対し、PyPIは二要素認証の導入やAPIトークンの要求など、セキュリティ強化に努めています。しかし、完全な解決には至っていません。

開発者の皆さんには、パッケージのインストール時に細心の注意を払うことをお勧めします。パッケージ名、作者、ダウンロード数、最終更新日などを確認し、少しでも疑わしい点があれば、インストールを控えるべきでしょう。

【用語解説】

  1. PyPI (Python Package Index)
    Pythonのパッケージを公開・共有するための中央リポジトリ。アプリストアのPython版と考えると分かりやすいでしょう。
  2. タイポスクワッティング
    URLの入力ミスを狙った攻撃手法。例えば、「amazon.com」を「amazom.com」と間違えて入力させる手口です。
  3. DApps (分散型アプリケーション)
    ブロックチェーン上で動作するアプリケーション。中央管理者がいない点が特徴です。

【参考リンク】

  1. Solana公式サイト(外部)
    高速・低コストのブロックチェーンプラットフォームを提供する公式サイト
  2. Python Package Index (PyPI)(外部)
    Pythonパッケージの公開・ダウンロードができる公式リポジトリサイト

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

SNSに投稿する

ホーム » ブロックチェーン » ブロックチェーンニュース » PyPI上の偽Solanaライブラリが暗号資産ウォレットを狙う!開発者は要注意