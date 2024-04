Checkmarxは3月28日(米国時間)、「PyPi Is Under Attack」において、Pythonのパッケージリポジトリ「PyPI」が進行中のサイバー攻撃に対処するためユーザーの新規登録とプロジェクトの作成を一時的に停止したと伝えた。PyPi Is Under Attack○悪意のあるパッケージが大量登録Checkmarxによると、今回確認されたサイバー攻撃において、悪意のある複数のPythonパッケージがPyPIに一斉にアップロードされたという。これらPythonパッケージはsetup.pyファイルに悪意のあるコードを含んでおり、パッケージのインストール時に情報窃取マルウェアをインストールする。このマルウェアは永続性を持ち、暗号資産ウォレット、ブラウザの機密情報、その他のさまざまな認証情報を窃取するとされる。

大量にアップロードされた悪意のあるPythonパッケージの一覧 引用:Checkmarxアップロードされた悪意のあるPythonパッケージは合計で555件だという。いずれも似た名称のパッケージ名やランダム性のあるユーザー名を使用しており、自動化された手法でパッケージを生成し、アップロードした可能性がある。これらパッケージはすでにリポジトリから全て削除されている。ユーザーの新規登録およびプロジェクトの作成停止は2024年3月28日午前2時16分(協定世界時)から同日の12時56分(協定世界時)まで10時間以上にわたり実施された。現在は正常にサービスを提供している。PyPIの一時的なサービス停止に関する報告 引用:python.orgCheckmarxはアップロードされた悪意のあるパッケージの一覧を公開しており、影響を受けた可能性のあるユーザーは一覧から被害の有無を確認することができる。また、マルウェアの分析において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。