Check Point Software Technologiesは6月16日(米国時間)、「PyPI Suspends New Registrations After Malicious Python Script Attack」において、PyPI (Python Package Index)リポジトリに悪意のあるパッケージが複数あることを伝えた。「DreamyOakXTimmywag」と呼ばれる作成者により、44もの不正なパッケージがリポジトリに追加されていたことが明らかになった。

  • PyPI Suspends New Registrations After Malicious Python Script Attack

    PyPI Suspends New Registrations After Malicious Python Script Attack

特定された44の不正なPyPIパッケージは次のとおり。

  • sys-scikit-learn 17.8.18
  • sqlalchemy-requests 7.1.1
  • sqlalchemy-os 14.0.10
  • sqlalchemy-install 10.9.4
  • selenium-matplotlib 17.9.4
  • scikit-learn-matplotlib 6.12.17
  • requests-pandas 3.10.17
  • requests-flask 16.9.16
  • req-os 20.5.17
  • req-matplotlib 11.2.18
  • req-flask 2.9.4
  • pyyaml-selenium 1.15.3
  • pytorch-pandas 14.19.3
  • pytest-pandas 16.6.6
  • pytorch-pygame 0.6.19
  • crypto-pygame 10.14.7
  • pylint-sys 8.15.6
  • pylint-py 15.0.3
  • pylint-beautifulsoup 17.10.12
  • pylint-beautifulsoup 3.12.3
  • pygame-pytorch 3.4.19
  • pygame-Print 15.0.6
  • pygame-install 17.14.20
  • Print-requests 13.18.4
  • Print-pip 13.9.3
  • Print-django 3.9.10
  • matplotlib-sqlalchemy 16.18.4
  • pandas-numpy 8.19.3
  • os-numpy 3.19.4
  • opencv-keras 17.10.13
  • numpy-selenium 5.20.19
  • matplotlib-requests 16.12.4
  • matplotlib-req 17.6.16
  • matplotlib-flask 7.15.10
  • keras-beautifulsoup 2.9.2
  • keras-arg 19.14.9
  • install-pyyaml 1.19.12
  • install-pytest 1.12.7
  • install-crypto 4.18.5
  • django-pyyaml 20.17.15
  • beautifulsoup-scikit-learn 2.4.9
  • beautifulsoup-requests 12.15.13
  • beautifulsoup-numpy 10.13.10

これらパッケージのPythonスクリプト内にユーザーのシステムを侵害する悪意のあるペイロードが仕込まれ、リモートサーバから任意の実行ファイル(マルウェア)をダウンロードして実行させていたことが確認されている。

PyPIリポジトリに悪意のあるパッケージを配置する脅威が続いている。Pythonプロジェクトやシステムを危険にさらすサプライチェーン攻撃は後を絶たず、侵害に成功する可能性の高い攻撃手法と考えられている。開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識し、利用するパッケージ情報を入念にチェックすることが望まれる。