Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。
-
PyPI Suspends New Registrations After Malicious Python Script Attack
特定された44の不正なPyPIパッケージは次のとおり。
- sys-scikit-learn 17.8.18
- sqlalchemy-requests 7.1.1
- sqlalchemy-os 14.0.10
- sqlalchemy-install 10.9.4
- selenium-matplotlib 17.9.4
- scikit-learn-matplotlib 6.12.17
- requests-pandas 3.10.17
- requests-flask 16.9.16
- req-os 20.5.17
- req-matplotlib 11.2.18
- req-flask 2.9.4
- pyyaml-selenium 1.15.3
- pytorch-pandas 14.19.3
- pytest-pandas 16.6.6
- pytorch-pygame 0.6.19
- crypto-pygame 10.14.7
- pylint-sys 8.15.6
- pylint-py 15.0.3
- pylint-beautifulsoup 17.10.12
- pylint-beautifulsoup 3.12.3
- pygame-pytorch 3.4.19
- pygame-Print 15.0.6
- pygame-install 17.14.20
- Print-requests 13.18.4
- Print-pip 13.9.3
- Print-django 3.9.10
- matplotlib-sqlalchemy 16.18.4
- pandas-numpy 8.19.3
- os-numpy 3.19.4
- opencv-keras 17.10.13
- numpy-selenium 5.20.19
- matplotlib-requests 16.12.4
- matplotlib-req 17.6.16
- matplotlib-flask 7.15.10
- keras-beautifulsoup 2.9.2
- keras-arg 19.14.9
- install-pyyaml 1.19.12
- install-pytest 1.12.7
- install-crypto 4.18.5
- django-pyyaml 20.17.15
- beautifulsoup-scikit-learn 2.4.9
- beautifulsoup-requests 12.15.13
- beautifulsoup-numpy 10.13.10
これらパッケージのPythonスクリプト内にユーザーのシステムを侵害する悪意のあるペイロードが仕込まれ、リモートサーバから任意の実行ファイル(マルウェア)をダウンロードして実行させていたことが確認されている。
PyPIリポジトリに悪意のあるパッケージを配置する脅威が続いている。Pythonプロジェクトやシステムを危険にさらすサプライチェーン攻撃は後を絶たず、侵害に成功する可能性の高い攻撃手法と考えられている。開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識し、利用するパッケージ情報を入念にチェックすることが望まれる。
