ニュース
人気のPythonパッケージが乗っ取られる騒ぎ、PHPパッケージではAWS認証情報が盗み取られる
昨今の国際情勢の悪化に伴い、オープンソースパッケージへの攻撃は増加傾向
2022年5月27日 10:00
「pypi.org」に登録されている「Python」パッケージ「ctx」に悪意あるコードが購入されていることが判明し、話題となっている。
「ctx」は、辞書型データへのアクセスとオブジェクトメンバーへのアクセスに互換性を持たせるためのシンプルなパッケージだ。
// 以下の処理が等価となる
ctx.a = 5
ctx["a"] = 5
このパッケージはとくに改善の必要も拡張の余地もないため、7年以上更新されていないが、それゆえ多くの開発者に信頼され、平均して週22,000回以上ものダウンロードを記録していた。
しかし、今月に入って突如活動が活発になり、立て続けにアップデートが行われた。にもかかわらず、ソースコードが公開されている「ctx」の「GitHub」リポジトリに変化がなかったため、不審に思ったユーザーがパッケージを解析したところ、環境変数を収集し、クラウドサービス「Heroku」で運用されているサーバーに送信するコードが発見されたという。
さらに「PHP」パッケージ「phpass」にも同じ「Heroku」サーバーへ内部情報を送信するコードが発見されたが、こちらでは「AWS」の認証情報が盗まれていた。
🚨 ALERT 🚨
— Somdev Sangwan (@s0md3v)May 24, 2022
Python's ctx library and a fork of PHP's phpass have been compromised. 3 million users combined.
The malicious code sends all the environment variables to a heroku app, likely to mine AWS credentials.
このパッケージはリポジトリの管理者によって即座に削除されたが、同様の攻撃は最近増加傾向にある。セキュリティベンダーSonatypeは、昨今の国際情勢の悪化に伴い、こうしたオープンソースレジストリへの攻撃が増えているとして警鐘を鳴らしている。