Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事、 Ars Technicaの記事)。
暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。
うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。
「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。
PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。
| セキュリティ
| Python
|
関連ストーリー:
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される
2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される
2019年08月25日
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる
2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入
2018年11月29日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた
2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた
2017年09月18日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入
2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される
2015年05月30日
Source: スラッシュドット
