Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報をリモートエンドホストにエクスポートし、一般に公開していたという。

  • Spyware vendor targets users in Italy and Kazakhstan

    Python packages upload your AWS keys, env vars, secrets to the web

Sonatypeの分析により、PyPIリポジトリに複数の悪意のあるPythonパッケージがあることが明らかとなった。PyPIはPythonユーザ向けのサードパーティソフトウェアリポジトリ。PyPIリポジトリより次の5つのPythonマルウェアが見つかった。

  • loglib-modules - loglibライブラリを知っている開発者を標的にした可能性
  • pyg-modules - pygライブラリを知っている開発者を標的にした可能性
  • pygrata - ターゲット不明
  • pygrata-utils - ターゲット不明、loglib-modulesと同一の悪意のあるコードを含む
  • hkg-sol-utils - ターゲット不明

loglib-modulesおよびpygrata-utilsにAWS認証情報、ネットワークインタフェース情報、環境変数を窃取する悪意のあるコードが埋め込まれていた。さらに一般に公開されているホストにエクスポートする機能も実装されていたことも判明。pygrata、pygrata-utils、hkg-sol-utilsに関しては、単にloglib-modulesおよびpygrata-utilsの依存関係に使われるライブラリであることがわかった。

Sonatypeは問題のあるこれら5つのパッケージを全てPyPIセキュリティチームに報告しており、PyPIリポジトリより削除されたとしている。