悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 3
ストーリー by nagazou
ご注意 部門より
ご注意 部門より
セキュリティ企業のPhylumは、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されているとの報告を行った。それによると、マルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されているという。内容は過去に見つかったものや2022年11月に同社が発見したものと同種の攻撃と分析されているが、今回はそのときの約20倍のPyPIパッケージが公開されているという(Phylum、TECH+)。
このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。
このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。
認証マーク (スコア:0)
PyPIにもDocker HubとかAMOみたいに著名なパッケージ用の認証マーク的なのが必要なのでは
これなぁ (スコア:0)
依存ライブラリがズラーっと並ぶの見てると、こん中にヤバいのが
混ざっててもワカンねぇしいちいちチェックとかもしてらんねぇよなっていつも思う
Re: (スコア:0)
Node.jsとかrustとか依存ライブラリ勝手に落とすのは全部怖いけど、どうにかならんかな