PyPIに認証データ窃取するパッケージが複数混入、ただちに確認を
Check Point Software Technologiesは8月8日(米国時間)、「CloudGuard Spectral detects several malicious packages on PyPI - the official software repository for Python developers - Check Point Research」において、PyPI (Python Package Index)リポジトリから複数の悪意のあるパッケージが検出されたと伝えた。PyPIリポジトリから10の悪意のあるパッケージが発見され、後に削除されたことが明らかとなった。
PyPIリポジトリに、開発者の個人データや個人認証情報の窃取を可能性とする情報窃取プログラムをインストールする悪意のあるパッケージが存在していたことが判明した。検出された問題のあるパッケージ名は次のとおり。
「Ascii2text」:discordのWebフックを使ってアップロードする悪意のあるスクリプトをダウンロードし実行する
「Pyg-utils」「Pymocks」「PyProto2」:ユーザのAWS認証情報を窃取することを目的にしている
「Test-async」:悪意のあるコードを Web からダウンロードして実行。スニペットをダウンロードする前に、Discordチャンネルに通知する
「Free-net-vpn」「Free-net-vpn2」:ユーザの認証情報や環境変数を窃取する
「Zlibsrc」:インストールの一部として悪意のあるファイルをダウンロードして実行する
「Browserdiv」:認証情報を収集してdiscordのWebフックを使って接収することを目的にしている
「WINRPCexploit」:ユーザの資格情報を窃取する。
Check Point Software Technologiesはこれらの悪意のあるパッケージおよびユーザーを特定。ユーザーにセキュリティに関する警告を促し、削除を依頼するためにPyPIに報告を行っている。その後、PyPIからこれらのパッケージが削除されたとのことだ。
PyPIリポジトリに、開発者の個人データや個人認証情報の窃取を可能性とする情報窃取プログラムをインストールする悪意のあるパッケージが存在していたことが判明した。検出された問題のあるパッケージ名は次のとおり。
「Ascii2text」:discordのWebフックを使ってアップロードする悪意のあるスクリプトをダウンロードし実行する
「Pyg-utils」「Pymocks」「PyProto2」:ユーザのAWS認証情報を窃取することを目的にしている
「Test-async」:悪意のあるコードを Web からダウンロードして実行。スニペットをダウンロードする前に、Discordチャンネルに通知する
「Free-net-vpn」「Free-net-vpn2」:ユーザの認証情報や環境変数を窃取する
「Zlibsrc」:インストールの一部として悪意のあるファイルをダウンロードして実行する
「Browserdiv」:認証情報を収集してdiscordのWebフックを使って接収することを目的にしている
「WINRPCexploit」:ユーザの資格情報を窃取する。
Check Point Software Technologiesはこれらの悪意のあるパッケージおよびユーザーを特定。ユーザーにセキュリティに関する警告を促し、削除を依頼するためにPyPIに報告を行っている。その後、PyPIからこれらのパッケージが削除されたとのことだ。
