PyPI temporarily pauses new users, projects amid high volume of malware
2023/05/20 BleepingComputer — オープンソース Python パッケージの、公式サードパーティ登録機関である PyPI において、新規ユーザーのサインアップと新規プロジェクトのアップロードが一時的に停止された。PyPI の管理者は、悪意のユーザーやパッケージが大量に流入し、レジストリの維持が困難になったことで、この措置を講じたようだ。
PyPI 新規ユーザーとプロジェクトの登録を一時的に停止
5月20日から、PyPI (Python Package Index) は、追って通知があるまで、新規ユーザー登録とプロジェクト作成を一時的に停止するとしている。
PyPI の管理者は、5月20日に公開したインシデント通知で、「PyPI においては新規ユーザー登録と新規プロジェクト名登録を、一時的に停止している。過去1週間にインデックス上で作成された悪意のユーザーと、悪意のプロジェクトの量が、タイムリーに対応できる我々のキャパシティを上回った。今回の措置は、複数の PyPI 管理者が休暇中であることも要因となっている」と説明している。
レジストリ管理者は、このプラットフォームへの新規登録を凍結するに至らしめた、正確な要因 (悪意のアクターやプロジェクトの名前) を明らかにしていない。しかし、この予防的な措置により、恒久的な解決策が見出されるまで、脅威アクターたちがシャットアウトされることが期待される。
PyPI 管理者のインシデント通知には、「休暇が終わる週末まで、新規ユーザーと新規プロジェクトの登録を一時的に停止する」と記されている。
PyPI は、他のオープンソースのレジストリと同様に、マルウェアの配布を狙う攻撃者によって頻繁に悪用されている。
2023年3月には、悪意の PyPI パッケージ colorfool が “Color-Blind” マルウェアを配布していることを、リスク・コンサルティング会社である Kroll が発見した。
また同月には、Sonatype が特定した PyPI パッケージ ”microsoft-helper”/”reverse-shell” が、Discord を悪用して機密情報を流出させる情報スティーラーを配布していたことが判明している。
ただし、今回の PyPI 管理者の対応により、このレジストリで利用可能な Python パッケージの既存のメンテナが、新たなバージョンの成果物を公開することには影響しないだろう。
PyPI における、新規ユーザー登録と新規プロジェクト名登録を、一時的に停止されるという通知があったようです。複数の PyPI 管理者が休暇中であることも要因とのことですが、少し休んだほうが良いとも思えます。GitHub も npm も、同じような措置を取り、メンテナたちのケアを含めて、考えるべきときかもしれません。よろしければ、DevSecOps ページを、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.