PythonとJavaScript開発者がPyPIとNPM経由で秘密裏に攻撃受ける、まだ進行中

Phylumはこのほど、「Phylum Detects Ongoing Typosquat/Ransomware Campaign in PyPI and NPM」において、PyPIおよびNPMのユーザーを標的とした進行中のランサムウェア攻撃のキャンペーンを検出したと伝えた。Go言語で記述されたランサムウェアのバイナリをダウンロードする悪質なパッケージが発見されている。

Phylumの調査により、PythonおよびJavaScriptの開発者に対して継続的なサイバー攻撃が行われていることが明らかとなった。人気のあるPythonパッケージのタイポスクワッティング攻撃による活発な活動が観測されており、リモートサーバからGo言語ベースのランサムウェアバイナリを取得するソースコードがパッケージに埋め込まれていることが確認されている。

Phylumが特定したキャンペーン対象のPyPIパッケージは次のとおり。

dequests
fequests
gequests
rdquests
reauests
reduests
reeuests
reqhests
reqkests
requesfs
requesta
requeste
requestw
requfsts
resuests
rewuests
rfquests
rrquests
rwquests
r1quests
r4quests
r3quests
r5quests
req7ests
req8ests
telnservrr
tequests

NPMパッケージにも同様の攻撃手法が採用され、キャンペーンが展開されていることが確認されている。検出されたNPMパッケージは次のとおり。

discordallintsbot
discordselfbot16
discord-all-intents-bot
discors.jd
discord-selfbot-v13
discord-all-intents-default
telnservrr

検出されたキャンペーンは、現在も攻撃が進行中とされており、注意が呼びかけられている。