パスワードを忘れた? アカウント作成
13411205 story
Python

PyPIに悪意のあるパッケージがアップロードされていた 48

ストーリー by headless
偽物 部門より
utahime 曰く、

スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypiArs Technicaの記事The Registerの記事Bleeping Computerの記事)。

偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。

SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されているという。そのため、SK-CSIRTではインストールされているパッケージを確認し、偽パッケージが存在する場合は削除して正規のパッケージをインストールすることを推奨している。

The Registerの記事では、タイプミスによりインストールされることを狙ったTypesquattingという手法だと指摘。SK-CSIRTではpipを使用してPythonパッケージをインストールする際は十分な注意が必要だと述べている。なお、偽パッケージに追加されたコードスニペットはPython 3.xと互換性がなく、インストール時の問題が複数回報告されていたが、セキュリティ問題とは認識されていなかったとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年09月18日 16時35分 (#3281647)

    寡聞にして存じ上げませんでしたが、日本国内のユーザの皆様におかれましては
    「PyPI」の表記はなんと発音なさるのでしょうか?

    #まさかパイパ…

  • by manmos (29892) on 2017年09月19日 10時15分 (#3281843) 日記

    エロに何か仕組まれるの基本だよね
    え?違うの?

    #PyPANのほうがヤバい。

    • by Anonymous Coward

      汚されたPyPANとか非常にインモラルな香りがしますね

  • by Anonymous Coward on 2017年09月18日 16時30分 (#3281645)

    個々ファイルに別れてたほうが扱いやすいのは確かだが
    3つ入れただけでHDD内のファイル100万個とか管理しきれんつーの
    なんか上手い方法ないのかね

    • by Anonymous Coward

      無圧縮zipに固めてたらだめかな?
      ディレクトリと同じく1000ファイルぐらいで性能劣化する?

      • by Anonymous Coward

        zipする程度で解決になるような管理の問題なら、階層型ディレクトリでも使っておけばいいんじゃね。
        容量の節約にはならないけど検索や移動、置換はずっとしやすくなるよ。

  • by Anonymous Coward on 2017年09月18日 17時47分 (#3281670)

    依存先を自動的にダウンロード&インストールするのはあぶなっかしいなあと思った次第

  • by Anonymous Coward on 2017年09月18日 20時25分 (#3281721)

    Pythonのコード自体は元と同じで、インストーラに悪意のあるコードが含まれていたのなら、パッケージの再インストールでどうにかなる問題なのか?

    • by Anonymous Coward

      もう少しよく読もう。
      >オリジナルのパッケージ名を一部変えた名前が付けられている。
      そもそも正規のパッケージではないのだ。

      • by Anonymous Coward on 2017年09月19日 5時48分 (#3281812)

        いやあの。
        パッケージの中身に仕込みがあってそれを含む成果物が不味い挙動をするのなら、
        正規のパッケージを入れることで成果物を汚染されていない状態に戻せるけれど、
        インストーラのスクリプトに仕込みが有って開発環境が汚染されるのであればアンインストールしても意味なくね?
        アンインストールでご丁寧にその辺も除去する作りになっているのだろうか?

        親コメント
        • by Anonymous Coward

          というよりは、そのままpip freezeなりwheelなりで他環境にばら撒く可能性があるからじゃないかな。
          その環境で何が起きたかは流石にわからないしね。

          どうやって探すんだって話はあるけど。

          この手の問題、npmにはもっと有りそうな気がするなぁ。

    • by Anonymous Coward

      リンク先に実際の悪意のあるスクリプトみたいのが載ってるけど、とりあえず見つかった物はユーザー名とかを攻撃者のサーバに送信するだけみたい?
      なのでそれに関してはそのパッケージの削除と正規のパッケージのインストールでおkという事かな

      まあ普通は何かしらの悪意のあるコードが走った時点でアウトなわけで、その辺りに言及してくれないとちょっと誤解を招きやすい感じがするね

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...