Check Point Software Technologiesはこのほど、「Detecting Malicious Packages on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent - Check Point Software」において、PyPI (Python Package Index)リポジトリに不正なパッケージがあるとして、注意を呼び掛けた。個人識別情報(PII: Personally Identifiable Information)を盗むインフォスティーラ型マルウェアがいくつかの悪意のあるPyPIパッケージに含まれていたことが明らかとなった。

Detecting Malicious Packages on PyPI: Malicious package on PyPI use phishing techniques to hide its malicious intent - Check Point Software

悪意のあるパッケージが同社の機械学習モデルにより発見された。async-io関連のヘルパーのふりをし、インストールの一部に難読化された悪意のあるコードを隠して公開していたことが確認されている。

発見された不正なPyPIパッケージは次のとおり。

aiotoolsbox

async-proxy

aiotoolsboxは正規のPyPIパッケージである「aiotools」をコピーして作ったとみられており、名称の一部を変更してユーザーをだますタイポスクワッティングと呼ばれる手法を用いたサイバー攻撃とみられている。aiotoolsboxのsetup.pyに悪意のあるコードが仕込まれ、インストール時にインフォスティーラマルウェアも実行されてしまうことがわかった。async-proxyの方はsetup.pyでaiotoolsboxをインストールするよう設定されているという。

脅威者がマルウェアを配布するため、PyPI、npm、RubyGems、GitHubといったプラットフォームでタイポスクワッティング攻撃を行うことがよくある。開発者はサードパーティ製のソフトウェアまたはライブラリをインストールする際、入念に確認し徹底したリスクマネジメントを行うことが推奨される。