PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 24
ストーリー by headless
検出 部門より
検出 部門より
Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事、 Ars Technicaの記事)。
暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。
うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。
「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。
PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。
暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。
うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。
「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。
PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。
素朴な疑問 (スコア:0)
悪用されることもあるけど市中で社会を回している法定通貨と違って、
暗号通貨って悪用されてるところ(ランサムウェアの身代金、電気代を押し付ける無断採掘等々)しか聞かないんですけど
何か役に立ったことあるんですか
Re: (スコア:0)
法定通貨が市中で社会を回している事をわざわざニュースにして騒ぐ奴がいるのか?www
Re: (スコア:0)
色々あるだろ、いちいちニュースにならないだけで
sradっぽいとこだと、フリーソフトウェア財団とかインターネットアーカイブとか
ビットコインで寄付募ってて、結構な金額集めてるよ
Re: (スコア:0)
それ、別にビットコインのメリットが生きていないですよね
ほかに何かないですか?
Re: (スコア:0)
あなたの思うその「ビットコインのメリット」ってやつを聞かせてくれないかな
人によって認識がてんでバラバラなもんで
Re: (スコア:0)
「マイニング」のコストを無視しているじゃん。
エコシステム全体では、全然安くないんだよ。
決済当事者だけのスコープでは、安い手数料で送金できて嬉しいのかもしれないけれど、
その裏では採掘という名のもと、電力を大量にドブに捨てている。。
Re: (スコア:0)
でも決済当事者のスコープでは儲かってるんでしょ?
後から「でもでも採掘が!」って条件を付けるのは水掛け論で反論になってない
採掘を批判したければ最初から「デメリットを上回るメリットはあるんですか?」と聞けば良かった
Re: (スコア:0)
なので、「デメリットを上回るメリット」を知りたいのですけど。そういう泣き言じゃなく。
単にイニシャルコストだけがデカいなら償却すればいい話だけど、エコシステムが続く限り、マイニングをぶん回さないといけない。
将来に渡って、この量の電力消費を続けざるを得ないなんて。。
Re: (スコア:0)
最初は暗号通貨の話をしていたのに、今ではビットコインについてのみの話をしている。
電気代の安い暗号通貨が続々登場しています。
Re: (スコア:0)
電力会社「毎度お買い上げありがとうございます!」
Re: (スコア:0)
寄付金なんてビットコインのメリットがとても生きてると思います。
少額の国際送金って大変なんですよ。クレジットカードのような信用決済手段を気軽に契約できる国は多くありません。
それに、相手国によっては着金に何か月もかかったり途中で紛失される事は現代でもしばしば起きますから、数分で送金できて記録が確実に残り絶対に嘘がつけない事が保証された全世界24時間営業のブロックチェーンは本当に有望な技術です。
日本円しか使わず小さな世界で快適な生活を満喫されているあなたには関係のない話ですがねwww
Re: (スコア:0)
TransferWise使えばいいじゃない。
取引所なんて怪しいところに金を預ける必要がない。Mt. Goxなんてあったじゃないか。
Re: (スコア:0)
Wiseという社名に変わってもっと怪しくなったがな
Re: (スコア:0)
ビットコイン送金するのに取引所に金を預ける必要はない
そのTransなんちゃらって企業に頼む必要もない
Re: (スコア:0)
記憶が一レス分しか持たないから質問が保持できないんだな
Re: (スコア:0)
寄付する人とされる人の他に第三者を挟まないで、電子的に寄付をするのは他の手段じゃ無理でしょ
それがメリットかどうかは当事者たちの問題、あなたにとってはメリットと思えないかもしれないけどね
Re: (スコア:0)
反射的に罵ろうと思ったところをぐっと飲み込んでなるべく穏やかに伝えたいと思うが、
君はその質問をするだけの基礎知識がそもそもないので、「暗号通貨 メリット」くらいでググってからもう一回自分の質問読み直しなさい。
Re: (スコア:0)
きっと検索したら例はいっぱいあるんだろうけど。
直ぐに思い出せるのは中共がビットコイン取引に規制かける以前は中国との取引代金の国際送金手数料が安いからと中国側から言われて使ってるインタビュー見た覚えある。(当時は1BTCが数百〜千ドルくらいの頃?)
規制で今後どうすればと言っていた。
金額は数百万円だった。
#NHKのビットコイン特集だったかな?NHKショックのきっかけになったヤツ。
Re: (スコア:0)
お前をイラつかせることができる
Re: (スコア:0)
世界中で共通の価値を持った通貨が勝手な権限を持った中間業者を介さず個人同士で少額からタダ同然の手数料で安全で確実で気軽に送金できるようになるってすごい技術なんだよね。
まあ、あなたよりは犯罪者の方が有効活用してるようですケドw
Re: (スコア:0)
今仮想通貨ブームとやらに踊らされて相場を動かしている大多数の人間は
「勝手な権限を持った中間業者」
の存在なしで踊らされることがあったのだろうか。
Re: (スコア:0)
コメント欄をオフトピに乗っ取られて微妙な気持ちになるのはわかるが煽るなよ