Phylumはこのほど、「Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM」において、PyPIおよびNPMのユーザーを標的とした進行中のランサムウェア攻撃のキャンペーンを検出したと伝えた。Go言語で記述されたランサムウェアのバイナリをダウンロードする悪質なパッケージが発見されている。

  • Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM

    Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM

Phylumの調査により、PythonおよびJavaScriptの開発者に対して継続的なサイバー攻撃が行われていることが明らかとなった。人気のあるPythonパッケージのタイポスクワッティング攻撃による活発な活動が観測されており、リモートサーバからGo言語ベースのランサムウェアバイナリを取得するソースコードがパッケージに埋め込まれていることが確認されている。

Phylumが特定したキャンペーン対象のPyPIパッケージは次のとおり。

  • dequests
  • fequests
  • gequests
  • rdquests
  • reauests
  • reduests
  • reeuests
  • reqhests
  • reqkests
  • requesfs
  • requesta
  • requeste
  • requestw
  • requfsts
  • resuests
  • rewuests
  • rfquests
  • rrquests
  • rwquests
  • r1quests
  • r4quests
  • r3quests
  • r5quests
  • req7ests
  • req8ests
  • telnservrr
  • tequests

NPMパッケージにも同様の攻撃手法が採用され、キャンペーンが展開されていることが確認されている。検出されたNPMパッケージは次のとおり。

  • discordallintsbot
  • discordselfbot16
  • discord-all-intents-bot
  • discors.jd
  • discord-selfbot-v13
  • discord-all-intents-default
  • telnservrr

検出されたキャンペーンは、現在も攻撃が進行中とされており、注意が呼びかけられている。