450超の悪意あるPyPIパッケージを発見、Python開発者の暗号資産が標的

Phylumはこのほど、「Phylum Discovers Revived Crypto Wallet Address Replacement Attack」において、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されていることを伝えた。タイポスクワッティングによるサイバー攻撃とされ、クリッパーマルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されていることが明らかとなった。

タイポスクワッティングとは、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用して、攻撃者が用意した不正なWebサイトへ誘導する攻撃手法。

Phylumにより発見された活動継続中のこのキャンペーンは、2022年11月に同社が発見したキャンペーンと同種のものと分析されている。前回のキャンペーンでは、20数個の悪意のあるPyPIパッケージが公開されたが、今回はその約20倍のPyPIパッケージが公開されたことがわかった。

暗号または金融、Web開発など人気の高いPyPIパッケージがターゲットになっていることが判明している。タイポスクワッティングに使われた主な正規のPyPIパッケージは次のとおり。

bitcoinlib
ccxt
cryptocompare
cryptofeed
freqtrade
selenium
solana
vyper
websockets
yfinance
pandas
matplotlib
aiohttp
beautifulsoup
tensorflow
selenium
scrapy
colorama
scikit-learn
pytorch
pygame
pyinstaller

例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが確認されている。

これらのPyPIパッケージには、ユーザーのクリップボードにコピーされた暗号資産ウォレットを攻撃者の暗号資産ウォレットに置き換えるJavaScriptコードが埋め込まれ、コードを隠すために難読化技術を使用していることが判明している。

サイバー犯罪者がマルウェアを配布するため、PyPIリポジトリに悪意のあるパッケージを配置する行為を続けている。ソフトウェア開発者はサードパーティ製ソフトウェアを使用する場合、リスクが存在していることを認識した上で、利用するライブラリの情報を入念にチェックすることが望まれる。