14万の悪意のあるパッケージがNuGet・NPM・PyPIに、開発者はリストの確認を

Checkmarxは12月14日(米国時間)、「How 140k NuGet, NPM, and PyPi Packages Were Used to Spread Phishing Links｜Checkmarx.com」において、NuGet、NPM、PyPIのエコシステムで重大な異常が発見されたと伝えた。この異常はCheckmarxとIllustriaの共同研究によって発見されたと報告されている。

CheckmarxとIllustriaの共同研究によって判明したNuGet、NPM、PyPIの主な異常の概要は次のとおり。

NuGet、NPM、PyPIに14万4000以上の悪意のあるパッケージが同じ脅威者によって作成された
攻撃者がフィッシングキャンペーンへのリンクを含むパッケージをオープンソースのエコシステムに送りつけるという、新しい攻撃が明らかとなった
すべてのパッケージと関連するユーザアカウントは、自動化によって作成された可能性が高い
これらのパッケージは類似したプロジェクトの説明と自動生成された名前を共有
この脅威者アクターは紹介IDを持つ小売サイトを利用し、紹介報酬で利益を得ていた
ほとんどのパッケージは非公開だった

発見されたこのフィッシングキャンペーンの規模は大きいとされており、悪意のあるパッケージのリストがGitHub Gistに公開されている（参考「illustria checkmarx phishing campaign package list｜GitHub Gist」）。