Last Updated on 2024-08-12 06:40 by admin
2024年8月4日、Python Package Index (PyPI)リポジトリに、Solanaブロックチェーンプラットフォームのライブラリを装った悪意のあるパッケージ「solana-py」が公開された。
このパッケージは、正規の「solana」パッケージ(バージョン0.34.3)を模倣し、バージョン0.34.3、0.34.4、0.34.5を公開した。
Sonatypeの研究者Ax Sharmaによると、このパッケージは8月4日から8月10日までの間に1,122回ダウンロードされた。悪意のあるコードは「init.py」スクリプトに注入され、システムからSolanaブロックチェーンウォレットキーを収集し、攻撃者が運営するHugging Face Spacesドメイン(treeprime-gen.hf.space)に送信する。
この攻撃は、正規のライブラリ「solders」がPyPIドキュメントで「solana-py」を参照していることから、開発者が誤って悪意のあるパッケージをダウンロードする可能性があり、サプライチェーンリスクをもたらす。
Sonatypeのセキュリティ研究チームは、この脅威をsonatype-2024-3214として追跡している。パッケージの作成者は「treefinder」と名乗っており、正規のプロジェクトの管理者「michaelhly」とは異なる。
この事件は、攻撃者がコミュニティ主導のプラットフォームを悪用してマルウェアを配布し、大規模なサプライチェーン攻撃を引き起こす可能性があることを示している。
from:Rogue PyPI Library Solana Users, Steals Blockchain Wallet Keys
【編集部解説】
今回のニュースは、オープンソースの世界で頻発している悪意あるパッケージの問題を浮き彫りにしています。Python Package Index (PyPI)という、多くの開発者が日常的に利用するリポジトリで起きた事件だけに、その影響は看過できません。
まず、この事件の特筆すべき点は、攻撃者が正規のライブラリ名を巧妙に模倣したことです。「solana」と「solana-py」という微妙な違いを利用し、開発者を騙そうとしました。これは「タイポスクワッティング」と呼ばれる手法の一種で、近年増加傾向にある攻撃方法です。
さらに注目すべきは、攻撃者が正規のコードをそのまま使用しつつ、悪意のあるコードを注入した点です。これにより、パッケージの機能は正常に動作するため、被害者は気付きにくくなります。
この手法は、ソフトウェアサプライチェーン攻撃の典型例と言えるでしょう。BlackBerryの調査によると、2024年には75%以上のソフトウェアサプライチェーンがサイバー攻撃を経験しているとのことです。この数字は、問題の深刻さを物語っています。
では、なぜこのような攻撃が可能になるのでしょうか。PyPIは、誰でも自由にパッケージをアップロードできるオープンな環境です。この自由さが、イノベーションを促進する一方で、セキュリティリスクも内包しているのです。
この問題に対し、PyPIは二要素認証の導入やAPIトークンの要求など、セキュリティ強化に努めています。しかし、完全な解決には至っていません。
開発者の皆さんには、パッケージのインストール時に細心の注意を払うことをお勧めします。パッケージ名、作者、ダウンロード数、最終更新日などを確認し、少しでも疑わしい点があれば、インストールを控えるべきでしょう。