パスワードを忘れた? アカウント作成
16506945 story
Python

悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 3

ストーリー by nagazou
ご注意 部門より
セキュリティ企業のPhylumは、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されているとの報告を行った。それによると、マルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されているという。内容は過去に見つかったものや2022年11月に同社が発見したものと同種の攻撃と分析されているが、今回はそのときの約20倍のPyPIパッケージが公開されているという(PhylumTECH+)。

このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年02月20日 14時29分 (#4414232)

    PyPIにもDocker HubとかAMOみたいに著名なパッケージ用の認証マーク的なのが必要なのでは

  • by Anonymous Coward on 2023年02月20日 15時21分 (#4414275)

    依存ライブラリがズラーっと並ぶの見てると、こん中にヤバいのが
    混ざっててもワカンねぇしいちいちチェックとかもしてらんねぇよなっていつも思う

    • by Anonymous Coward

      Node.jsとかrustとか依存ライブラリ勝手に落とすのは全部怖いけど、どうにかならんかな

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...