Phylumはこのほど、「Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM」において、PyPIおよびNPMのユーザーを標的とした進行中のランサムウェア攻撃のキャンペーンを検出したと伝えた。Go言語で記述されたランサムウェアのバイナリをダウンロードする悪質なパッケージが発見されている。

Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM

Phylumの調査により、PythonおよびJavaScriptの開発者に対して継続的なサイバー攻撃が行われていることが明らかとなった。人気のあるPythonパッケージのタイポスクワッティング攻撃による活発な活動が観測されており、リモートサーバからGo言語ベースのランサムウェアバイナリを取得するソースコードがパッケージに埋め込まれていることが確認されている。

Phylumが特定したキャンペーン対象のPyPIパッケージは次のとおり。

dequests

fequests

gequests

rdquests

reauests

reduests

reeuests

reqhests

reqkests

requesfs

requesta

requeste

requestw

requfsts

resuests

rewuests

rfquests

rrquests

rwquests

r1quests

r4quests

r3quests

r5quests

req7ests

req8ests

telnservrr

tequests

NPMパッケージにも同様の攻撃手法が採用され、キャンペーンが展開されていることが確認されている。検出されたNPMパッケージは次のとおり。

discordallintsbot

discordselfbot16

discord-all-intents-bot

discors.jd

discord-selfbot-v13

discord-all-intents-default

telnservrr

検出されたキャンペーンは、現在も攻撃が進行中とされており、注意が呼びかけられている。