Last Updated on 2024-08-08 09:16 by 門倉 朋宏
Python Package Index (PyPI)は、タイポスクワッティングキャンペーンの一環としてアップロードされた悪意のあるプロジェクトの流入を受けて、新規ユーザー登録を一時的に停止した。この措置は「マルウェアアップロードキャンペーン」を緩和するために取られ、「新規プロジェクト作成と新規ユーザー登録」が一時的に停止された。このインシデントは、2024年3月28日の12:56 p.m. UTCに解決された。
ソフトウェアサプライチェーンセキュリティ会社Checkmarxによると、リポジトリを攻撃した未特定の脅威アクターは、人気パッケージのタイポスクワッティングバージョンを使って開発者を標的にした。この多段階攻撃の悪意のあるペイロードは、暗号ウォレット、ブラウザからの機密データ(クッキー、拡張機能データなど)、さまざまな認証情報を盗むことを目的としていた。また、再起動後も生き残るための永続性メカニズムを使用していた。
Mend.ioも独自に調査を行い、Pytorch、Matplotlib、Seleniumなどの機械学習(ML)ライブラリを標的とする100以上の悪意のあるパッケージを検出したと報告している。オープンソースリポジトリが、脅威アクターによる企業環境への侵入のための攻撃ベクトルとしてますます利用されている。
タイポスクワッティングは、敵が正当なものと酷似した名前のパッケージをアップロードして、ユーザーがそれらをダウンロードするようにだます攻撃技術である。Check Pointによると、これらの欺瞞的なバリアントは、2024年3月26日から特定のアカウントからアップロードされ、全プロセスが自動化されていたとされる。
サイバーセキュリティ会社Phylumも同じキャンペーンを追跡しており、攻撃者が公開したパッケージは、インストーラーのオペレーティングシステムがWindowsであるかどうかをチェックし、そうであれば、アクターが管理するドメイン(“funcaptcha[.]ru”)から取得した難読化されたペイロードをダウンロードして実行する。このマルウェアは、ファイル、Discordトークン、ウェブブラウザーおよび暗号通貨ウォレットからのデータを同じサーバーに盗み出す機能を持つ。
PyPIは、過去にも同様の措置を講じており、2023年5月には「過去1週間にインデックスで作成された悪意のあるユーザーと悪意のあるプロジェクトの量が、迅速に対応する能力を上回った」として、一時的にユーザー登録を無効にした。また、昨年の12月27日にも同様の理由で新規ユーザー登録を2回目に一時停止し、2024年1月2日に解除された。
【ニュース解説】
Python Package Index(PyPI)は、開発者を標的にした悪意あるパッケージの大量アップロードに対応するため、新規ユーザー登録を一時的に停止しました。この措置は、特にタイポスクワッティングと呼ばれる攻撃キャンペーンの一環として行われました。タイポスクワッティングとは、正規のパッケージ名に非常に似た名前で偽のパッケージをアップロードし、ユーザーが間違えてダウンロードすることを狙った攻撃手法です。
この攻撃キャンペーンでは、暗号ウォレットやブラウザの機密データ、さまざまな認証情報を盗み出すことを目的としたマルウェアが含まれていました。また、マルウェアは再起動後もシステムに残り続ける永続性メカニズムを備えていました。このような攻撃は、オープンソースのリポジトリが企業環境への侵入口として悪用されるリスクを高めています。
この問題の深刻さは、攻撃者が自動化された手段を用いて500以上の偽パッケージをアップロードしたことにより、リポジトリの管理者がこれらの悪意あるエントリを特定し、対処することが困難になっている点にあります。さらに、攻撃者はWindowsオペレーティングシステムを対象に、難読化されたペイロードをダウンロードして実行することで、さらに多くの機密情報を盗み出すことを試みました。
この事件は、ソフトウェアサプライチェーン攻撃のリスクが高まっていることを示しています。開発者は、使用する第三者コンポーネントを慎重に検討し、潜在的な脅威から保護するための措置を講じることが重要です。また、PyPIのようなオープンソースリポジトリは、過去にも同様の問題に直面しており、悪意あるユーザーやプロジェクトの増加に対応するために、新規登録の一時停止という措置を取っています。
この事件から学ぶべき重要な教訓は、ソフトウェア開発においてセキュリティが極めて重要であるということです。開発者は、使用するライブラリやパッケージの出所を常に確認し、信頼できるソースからのみダウンロードするべきです。また、企業は、サプライチェーン攻撃に対する防御策を強化し、定期的なセキュリティ監査を実施することで、この種の攻撃から自身を守ることができます。
from PyPI Halts Sign-Ups Amid Surge of Malicious Package Uploads Targeting Developers.
“PyPIが悪意あるパッケージ流入で新規登録停止、開発者を狙うサイバー攻撃が激化” への1件のコメント
今回のPython Package Index(PyPI)における悪意あるパッケージの大量アップロードとそれに伴う新規ユーザー登録の一時停止は、私たちがデジタル時代において直面している脅威の深刻さを物語っています。私は長年にわたって会社で働き、最新技術の変遷を見てきましたが、このようなサイバー攻撃の巧妙さとその影響の大きさには驚かされます。特に、タイポスクワッティングという手法で正規のパッケージと酷似した名前で偽のパッケージをアップロードし、ユーザーを騙すというのは、非常に陰険な攻撃です。
私が若い頃は、セキュリティと言えば物理的な鍵や施錠が中心でしたが、今やサイバーセキュリティが非常に重要な役割を果たしています。特に開発者の方々は、使用するライブラリやパッケージの安全性を常に確認し、信頼できるソースからのみダウンロードする必要があると感じます。このような攻撃は、一企業や個人だけの問題ではなく、社会全体で対処するべき課題です。
また、オープンソースリポジトリが攻撃の対象となることで、その信頼性にも影響を及ぼし、開発者コミュニティ全体の健全性を脅かすこ