Checkmarxは3月28日(米国時間)、「PyPi Is Under Attack」において、Pythonのパッケージリポジトリ「PyPI」が進行中のサイバー攻撃に対処するためユーザーの新規登録とプロジェクトの作成を一時的に停止したと伝えた。

  • PyPi Is Under Attack

    PyPi Is Under Attack

悪意のあるパッケージが大量登録

Checkmarxによると、今回確認されたサイバー攻撃において、悪意のある複数のPythonパッケージがPyPIに一斉にアップロードされたという。これらPythonパッケージはsetup.pyファイルに悪意のあるコードを含んでおり、パッケージのインストール時に情報窃取マルウェアをインストールする。このマルウェアは永続性を持ち、暗号資産ウォレット、ブラウザの機密情報、その他のさまざまな認証情報を窃取するとされる。

  • 大量にアップロードされた悪意のあるPythonパッケージの一覧 - 引用:Checkmarx

    大量にアップロードされた悪意のあるPythonパッケージの一覧  引用:Checkmarx

アップロードされた悪意のあるPythonパッケージは合計で555件だという。いずれも似た名称のパッケージ名やランダム性のあるユーザー名を使用しており、自動化された手法でパッケージを生成し、アップロードした可能性がある。これらパッケージはすでにリポジトリから全て削除されている。

ユーザーの新規登録およびプロジェクトの作成停止は2024年3月28日午前2時16分(協定世界時)から同日の12時56分(協定世界時)まで10時間以上にわたり実施された。現在は正常にサービスを提供している。

  • PyPIの一時的なサービス停止に関する報告 - 引用:python.org

    PyPIの一時的なサービス停止に関する報告 引用:python.org

Checkmarxはアップロードされた悪意のあるパッケージの一覧を公開しており、影響を受けた可能性のあるユーザーは一覧から被害の有無を確認することができる。また、マルウェアの分析において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。