Spammers flood PyPI with pirated movie links and bogus packages
2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。
今回の発見は、Sonatype の senior software engineer である Adam Boesch が、あるデータセットを調査していた際に、人気の TV sitcom にちなんで名付けられた、おかしな感じの PyPI コンポーネントに気付いたことに端を発している。Boesch は、「データセットに目を通していたところ、パッケージ名としては少し奇妙な wandavision に気づいた。そのパッケージを調べたが、信じられなかったので、さらに PyPI で調べてみた」と、BleepingComputer のインタビューに答えている。
ここ数ヶ月において、npm / RubyGems / PyPI といったオープンソース・エコシステムに対する攻撃がエスカレートしているそうです。脅威のアクターたちは、ソフトウェアのリポジトリの中に、マルウェアや、依存関係を混乱させる悪意の模倣、そして、自身のメッセージを広めるための自警団的なパッケージなどを、氾濫させているとのことです。そのため、脅威のアクターたちとリポジトリ管理者の間で、モグラ叩きのような展開が生じているようです。
IoT OT Security News 