ReversingLabsは2月22日(米国時間)、「Developers beware: Imposter HTTP libraries lurk on PyPI」において、PyPIリポジトリにHTTPライブラリを装った悪意ある41個のPythonパッケージを確認したと伝えた。これはサイバー攻撃者がPyPI、npm、GitHubなどのオープンソースリポジトリを悪用してマルウェアを配布しようとする最新の試みと説明されている。

  • Developers beware: Imposter HTTP libraries lurk on PyPI

    Developers beware: Imposter HTTP libraries lurk on PyPI

発見された悪意あるパッケージは、主に次の2つのタイプの悪意あるモジュールになっていると指摘されている。

  • 侵害したシステムに第2段階のマルウェアを配信するダウンローダとして機能する
  • データ窃取を行うための情報スティーラとして機能する

ReversingLabsにより特定された悪意あるPyPIパッケージは次のとおり。

  • aio5 version 0.2.9
  • aio6 version 6.6.6
  • htps1 version 2.3.1
  • htps1 version 2.3.1
  • htps1 version 0.2.3
  • httiop version 0.0.1
  • httops version 1.0.2
  • httplat version 1
  • httpscolor version 1
  • httpsing version 0.35
  • httpslib version 4.6.9
  • httpslib version 4.6.11
  • httpsos version 0.35
  • httpsp version 6.9
  • httpssp version 0.0.0
  • httpssus version 0.0.2
  • httpsus version 1.0.23
  • httpxgetter version 1.0
  • httpxmodifier version 1.0
  • httpxrequester version 1.0
  • httpxrequesterv2 version 1.0
  • httpxv2 version 1.0
  • httpxv3 version 1.0
  • libhttps version 4.6.12
  • piphttps version 1
  • piphttps version 1
  • pohttp version 0.1
  • requestsd version 2.9.2
  • requestsd version 2.9.2
  • requestse version 2.28.2
  • requestse version 2.28.2
  • requestst version 2.28.2
  • requestst version 2.28.2
  • ulrlib3 version 99.9
  • urelib3 version 1.27.15
  • urklib3 version 1.27.15
  • urlkib3 version 1.27.15
  • urllb version 0.6
  • urllib33 version 1.27.15
  • urolib3 version 1.27.15
  • xhttpsp version 1.0

サイバー攻撃者が悪意あるパッケージの名前の頭文字に「http」を選ぶことは珍しくないという。HTTPライブラリは、ネットワーク機能やサードパーティモジュール機能をアプリケーションに含める必要がある際に適切なAPIを通信するために広く使われている。

PyPI、npm、RubyGems、GitHubといったプラットフォームにおけるタイポスクワッティング攻撃は一般的になっている。開発者は利用するサードパーティ製ライブラリのチェックを行い、アクティブにメンテナンスされているかを確認し、対象となるサードパーティ製ライブラリが依存しているほかのライブラリに関してもチェックする必要が出てきている。

しかし開発者はやるべきことが多く、こうした確認に時間を割り当てることが難しいという状況が、サイバー攻撃者が開発プラットフォームを悪用する原因になっていると指摘されている。