Legacy Python Package Vulnerabilities Enable PyPI Attacks Through Domain Takeover
2025/11/27 gbhackers — Python のレガシー・パッケージに潜む脆弱性について、ReversingLabs の研究者たちが警鐘を鳴らしている。この脆弱性は、Python Package Index (PyPI) のユーザーを、ドメイン侵害によるサプライチェーン攻撃の脅威にさらすものである。それらの脆弱なコードは、最近のプロジェクトではほとんど使用されていないが、古い本番システムに残り続けているため、依然としてリスクは消え去っていない。
Continue reading “Python のレガシー・パッケージに潜む脆弱性:放棄されたドメインとブートストラップ・スクリプト”Threat Actors Exploit Discord Webhooks for C2 via npm, PyPI, and Ruby Packages
2025/10/12 gbhackers — オープンソース・パッケージ内での Command and Control (C2) チャネルとして、Discord Webhook を悪用する脅威アクターが増えている。それにより、専用のインフラを構築することなく、機密情報/ホスト・テレメトリ/開発者環境データのステルス的な流出が可能になる。Socket の脅威調査チームが確認したのは、npm/PyPI/RubyGems 内でハードコードされた Discord Webhook URL が、書き込み専用のデータ受信先 (シンク)として機能し、HTTPS 経由で攻撃者が管理するチャネルへデータを吸い上げるという、活発な悪用の事例である。
Continue reading “npm/PyPI/RubyGems パッケージを介した Discord C2:ステルス情報漏洩が加速”Malicious PyPI Package Mimics as SOCKS5 Proxy Tool Attacking Windows Platforms
2025/10/01 CyberSecurityNews — Python Package Index (PyPI) に混入した、高度なバックドア機能を持つパッケージが、正規の SOCKS5 プロキシツールに擬態しながら、Windows システムを標的にしている。無害なネットワーク・ユーティリティを装うことで、XRAY-725599 として追跡されている SoopSocks パッケージは、SOCKS5 プロキシ・サービスを作成し、コンフィグが可能な Discord Webhook へ向けて、サーバ情報を報告する。
Continue reading “SOCKS5 Proxy Tool を模倣する悪意の PyPI パッケージ:巧妙な権限昇格と検出回避のメカニズムとは?”New Phishing Scam Aims at PyPI Maintainers to Steal Login Information
2024/09/25 gbhackers — ドメイン成りすまし型フィッシング・メールの新たな波が、再び Python のコミュニティとメンテナーたちを標的にしている。攻撃者がドメイン名を次々と変更するため、PyPI ユーザーは警戒を怠らず、アカウント保護のためにより強力な対策を講じる必要がある。最新の攻撃において、”アカウントのメンテナンスとセキュリティ手順” を装うメールを受け取ったメンテナーは、”メール・アドレスの確認” を促される。
Continue reading “PyPI メンテナーを狙う新たなフィッシング攻撃:認証情報窃取のリスクと防御策”Hackers Injecting Malicious Code into GitHub Actions Workflows to Steal PyPI Publishing Tokens
2025/09/15 CyberSecurityNews — Python Package Index (PyPI) の公開トークンを盗み出すという広範なキャンペーンの一環として、攻撃者たちは GitHub Actions ワークフローに悪意のコードを挿入した。それにより、一部のトークンが GitHub シークレットから盗まれたが、PyPI 管理者によると、プラットフォーム自体は侵害されておらず、盗まれたトークンが使用された証拠も確認されていないという。
Continue reading “GitHub Actionsワークフローに悪意のコードを注入:PyPI 公開トークン窃取の恐れ”PyPI Warns of New Phishing Attack Targeting Developers With Fake PyPI Site
2025/07/29 CyberSecurityNews — Python Package Index (PyPI) が、開発者に対して発している緊急の警告は、ドメイン・スプーフィング技術を悪用してユーザーの認証情報を窃取する、進行中のフィッシング攻撃に関するものだ。この攻撃は、PyPI にパッケージを公開する開発者を標的とした、巧妙なものである。PyPI エコシステムへの信頼を悪用する攻撃者は、正規プラットフォームを模倣する偽サイトを通じて、開発者たちの認証情報を収集している。
Continue reading “PyPI 開発者を狙うフィッシング攻撃を確認:正規サイトに酷似した偽ページで情報窃取”New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
2025/06/08 TheHackerNews — GlueStack 関連の 12以上のパッケージを標的とする、マルウェア拡散を目的としたサプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。Aikido Security は、「”lib/commonjs/index.js” への変更時に侵入した、このマルウェアを操作する攻撃者は、シェル・コマンドの実行/スクリーン・ショットの撮影/感染マシンへのファイル・アップロードが可能にする。これらのパッケージのダウンロード数は、合計で毎週約 100万回に達している」と、The Hacker News に述べている。
Continue reading “npm/PyPI エコシステムが標的:新たなサプライチェーン・マルウェア攻撃の詳細が判明”Weaponized PyPI Package Steals Solana Private Keys Via Supply Chain Attack
2025/05/30 CyberSecurityNews — Solana 開発者を狙った高度なサプライチェーン攻撃により、25,900件以上のダウンロードにおいて侵害が生じ、Python パッケージ経由で暗号資産の秘密鍵が静かに盗まれていたことが明らかになった。この攻撃キャンペーンは、semantic-types というパッケージを中心に展開され、トランジティブ依存関係とブロックチェーンを使った情報の外部送信により、従来のセキュリティ制御を回避するという、新たなソフトウェア・サプライチェーン攻撃の形態を示している。
Continue reading “semantic-types という悪意のパッケージ:Solana の秘密鍵を盗むサプライチェーン攻撃を展開”Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts
2025/05/20 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。これらのパッケージは、盗み出したメール・アドレスを、TikTok/Instagram の APIで検証するための、チェッカー・ツールとして機能する。問題となっている3つのパッケージは、現時点の PyPI では提供されていない。それらの Python パッケージ名は、以下の通りである。
Continue reading “PyPI に新たな悪意のパッケージ:Instagram/TikTok などをユーザー・アカウントを盗み出す?”Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times
2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。
Continue reading “フェイク Discord パッケージと RAT:PyPI から 11,500+ のダウンロード”Malicious Go Modules Deliver Disk-Wiping Linux Malware in Advanced Supply Chain Attack
2025/05/03 TheHackerNews — サイバー・セキュリティ研究者たちが発見した、3つの悪意のある Go モジュールは、次段階のペイロードを取得する難読化コードにより、Linux システムのプライマリ・ディスクを永久に上書きし、起動不能にする可能性があるものだ。それらのパッケージ名は、以下の通りである:
Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands
2025/05/02 gbhackers — Python Package Index (PyPI) に公開された7つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。
Continue reading “PyPI に7つの悪意のパッケージ:Gmail SMTP への信用を悪用する新たな手口”PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature
2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ/セキュリティへの対応により、わずか2時間強で修復された。
Continue reading “PyPI Organizations に深刻な脆弱性:報告から2時間で修正され被害もなし”Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data
2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”North Korean Lazarus hackers infect hundreds via npm packages
2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。
Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”Over 1000 Malicious Packages Found Exploiting Open-Source Platforms
2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。
Continue reading “悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet”Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)
2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。
Continue reading “Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供”DeepSeek’s popularity exploited to push malicious packages via PyPI
2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。
Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”PyPI adds project archiving system to stop malicious updates
2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。
Continue reading “PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止”Researchers Uncover PyPI Packages Stealing Keystrokes and Hijacking Social Accounts
2024/12/24 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた2つの悪意のパッケージが、侵害したホストから機密情報を盗み出していると、Fortinet FortiGuard Labs がフラグ付けしていることが発表された。
Open source malware up 200% since 2023
2024/12/11 HelpNetSecurity — Sonatype の 2024 Open Source Malware Threat Report によると、2019 年に追跡が開始された悪意のパッケージの数が 778,500 件を超えている。そして 2024年になり、カスタム AI モデルを構築する企業が、オープンソース・ツールを採用するケースが増えるにつれて、悪意のオープンソース・パッケージを用いる脅威アクターたちが、開発者を標的にするケースが増えている。この記事で概説するのは、こうしたトレンドについて調査した結果である。
Continue reading “OSS リポジトリを汚染するマルウェア:2024 は前年比で 200% の増大”Ultralytics AI Library with 60M Downloads Compromised for Cryptomining
2024/12/09 HackRead — PyPI (Python Package Index) で人気を博す、Ultralytics AI ライブラリに悪意のコードを注入して、暗号通貨のマイニングを行うという攻撃が、ReversingLabs のサイバーセキュリティ研究者たちにより発見された。
Continue reading “PyPI における Ultralytics AI の悪用:ビルド環境の侵害と XMRig マルウェアの展開”PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot
2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期/非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。
Continue reading “PyPI の “aiocpa” は悪意のライブラリ:Telegram Bot で Crypto Keys を盗み出す手口とは?”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
Sonatype Reports 156% Increase in OSS Malicious Packages
2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。
Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”Google Fixes GCP Composer Flaw That Could’ve Led to Remote Code Execution
2024/09/16 TheHackerNews — Google Cloud Platform (GCP) Composer に発見された深刻なセキュリティ脆弱性は、サプライチェーン攻撃の手法である “Dependency Confusion” (依存関係かく乱) により、クラウド・サーバ上でのリモート・コード実行を攻撃者に許すものだ。この脆弱性には、 CloudImposer というコードネームが、Tenable Research により付けられている。Tenable のセキュリティ研究者である Liv Matan は、「この脆弱性の悪用に成功した攻撃者は、Google Cloud Composer の各パイプライン・オーケストレーション・ツールにあらかじめインストールされている、内部ソフトウェアの依存関係を乗っ取りが可能になると推測される」と説明している。
Continue reading “GCP Composer の RCE 脆弱性が FIX:依存関係を撹乱させる CloudImposer とは?”Researchers Find Over 22,000 Removed PyPI Packages at Risk of Revival Hijack
2024/09/04 TheHackerNews — Python Package Index (PyPI) レジストリを標的とする、新たなサプライチェーン攻撃手法が、下流組織への侵入手段として悪用されていると、ソフトウェア・サプライチェーン・セキュリティ企業 JFrog が指摘している。この Revival Hijack と命名された攻撃手法により、既存の PyPI パッケージ 2万2000個に乗っ取りの可能性が生じ、さらに、数十万の悪意のパッケージのダウンロードへといたる恐れがあるとしている。なお、それらの脆弱なパッケージとは、ダウンロード数が10万回を超えているものであり、また、6か月以上にわたってアクティブになっているものである。
Continue reading “PyPI の Revival Hijack 攻撃:パッケージ再登録のギャップを狙う脅威が判明”Targeted PyPi Package Steals Google Cloud Credentials from macOS Devs
2024/07/27 DarkReading — macOS ユーザーの一部から Google Cloud Platform の認証情報を盗み出す、かなり奇妙な悪意の Python コードのパッケージを、研究者たちが発見した。Checkmarx の 7月26日のブログによると、このパッケージ “lr-utils-lib” は、6月初旬の時点で Python Package Index (PyPI) にアップロードされたものだが、セットアップ・ファイルに悪意のコードを隠し持っていた。 そのコードは、macOS システム上で実行されていることをチェックし、続いて、システムの IOPlatformUUID をチェックする。この値は、特定の Mac コンピュータを識別するために使用されるものである。
Continue reading “lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取”Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI
2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
Continue reading “PyPI に新たな悪意のパッケージ :Crytic-Compiler を装い Lumma スティーラーを配布”New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection
2024/05/29 InfoSecurity — Python Package Index (PyPI) 上に、悪意のパッケージ pytoileur が存在していたことが、サイバーセキュリティ研究者たちにより明らかになった。その、Python で書かれた API 管理ツールと謳うパッケージには、トロイの木馬化された Windows バイナリを、ダウンロードしてインストールするコードが仕込まれていた。それらのバイナリは、監視の機能/永続化の確立/暗号通貨の窃取などを可能にするおのであり、ダウンローダーとして機能するパッケージは、Sonatype の自動マルウェア検出システムにより発見された後に、ただちに削除された。
Continue reading “PyPI の新たな悪意のパッケージ Pytoileur:巧妙な手口で検知を回避”GitHub Developers Hit in Complex Supply Chain Cyberattack
2024/03/25 DarkReading — 正体不明の脅威グループが、Top.gg の GitHub のメンバーや開発者たちに対して高度なサプライチェーン攻撃を展開し、このコード・エコシステムに悪意のコードを注入していることが明らかになった。攻撃者は、信頼されているソフトウェア開発要素に侵入することで、開発者たちを侵害していく。彼らは、盗んだクッキーで GitHub アカウントを乗っ取り、検証済みのコミットを通じて悪意のコードを投稿し、偽の Python ミラーを確立し、PyPI レジストリに汚染されたパッケージを公開する。
Continue reading “GitHub のサプライチェーン攻撃:Top.gg アカウントを悪用してマルウェアを展開”CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”Japan warns of malicious PyPi packages created by North Korean hackers
2024/02/28 BleepingComputer — JPCERT/CC (Japan’s Computer Security Incident Response Team) の警告は、悪名高い北朝鮮のハッキング・グループ Lazarus が、開発者をマルウェアに感染させる4つの悪意の PyPI パッケージをアップロードしたというものだ。PyPI (Python Package Index) は、オープンソースのソフトウェア・パッケージのリポジトリだ。ソフトウェア開発者たちは、多種多様なパッケージを Python プロジェクトで利用することで、最小限の労力でプログラムに機能を追加していく。
Continue reading “JPCERT/CC 警告:北朝鮮のハッカー Lazarus が悪意のパッケージを PyPI にアップロード”New Malicious PyPI Packages Caught Using Covert Side-Loading Tactics
2024/02/20 TheHackerNews — Python Package Index (PyPI) リポジトリに、2つの悪意のパッケージが存在することが、サイバーセキュリティ研究者たちにより発見/確認された。それらの悪意のパッケージは、DLL サイド・ローディングと呼ばれるテクニックを用いて、セキュリティ・ソフトウェアによる検出を回避し、悪意のコードを実行するものだ。それらのパッケージは NP6HelperHttptest と NP6HelperHttper と名付けられ、削除されるまでに、それぞれが 537回/166回ダウンロードされている。
Continue reading “PyPI に “NP6” を冠した悪意のパッケージ:DLL サイド・ローディングで攻めてくる”Malicious PyPI Packages Slip WhiteSnake InfoStealer Malware onto Windows Machines
2024/01/29 TheHackerNews — Python Package Index (PyPI) レポジトリ上で発見されたのは、WhiteSnake Stealer という情報窃取型マルウェアを、Windows システム上に配布する悪意のパッケージである。それらのマルウェアが埋め込まれたパッケージの名前は、nigpal/figflix/terer/seGMM/fbdebug/sGMM/myGens/NewGends/TestLibs111 である。そして、これらのパッケージをアップロードしているのは “WS “という脅威アクターだと、サイバーセキュリティ研究者たちは述べている。
Continue reading “PyPI に新たな悪意のパッケージ: Windows デバイス上に WhiteSnake マルウェアを展開”TensorFlow CI/CD Flaw Exposed Supply Chain to Poisoning Attacks
2024/01/18 TheHackerNews — オープンソースの機械学習フレームワーク TensorFlow で発見された CI/CD (integration and continuous delivery ) のミスコンフィグが、サプライチェーン攻撃の組織化のために悪用された可能性があるという。今週のレポートで Praetorian の研究者である Adnan Khan と John Stawinski は、「このミスコンフィグを悪用する攻撃者が、悪意のプルリクエストを通じて TensorFlow のビルド・エージェントを侵害し、GitHub/PyPi 上の TensorFlow リリースのサプライチェーンを侵害した可能性がある」と述べている。
Continue reading “TensorFlow CI/CD のミスコンフィグへの対応:サプライチェーン攻撃の要因になり得る”“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers
2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
Continue reading “PyPI に潜む Blank Grabber マルウェア:Python 開発者たちを狙い続ける”Python’s New Threat: Malicious PyPI Packages Targeting Linux Devices
2024/01/03 SecurityOnline — 先日に Python コミュニティで、Linux デバイス上に CoinMinerを 展開する、3つの悪意の PyPI (Python Package Index) パッケージが発見された。これらのパッケージ modularseven-1.0/driftme-1.0/catme-1.0 は、FortiGuard の AI 駆動型 OSS マルウェア検出システムにより発見されたものであり、オープンソースのエコシステムを標的とする、攻撃の洗練度の大幅なエスカレーションを示唆している。
Continue reading “PyPI に新たな悪意のパッケージ: Linux デバイス上で CoinMinerを 展開”Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure
2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの2つのユニークな機能を悪用して、ステージ2のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。
Continue reading “GitHub の gists/commits 機能:マルウェアのホストに悪用されている”PyPI Poisoned: 116 Malicious Packages Target Windows and Linux
2023/12/12 SecurityOnline — ESET の最新調査により、Python Package Index (PyPI) における脅威の動向が明らかになった。公式リポジトリ内における依存関係を悪用する形で、Windows/Linux を標的とする悪質なコードが大量に展開され、悪意の Python プロジェクトが網の目のように張り巡らされている状況が、この調査で判明した。
Continue reading “PyPI リポジトリ汚染:116 件の悪意の Python パッケージが発見された”PyPI Packages Found to Expose Thousands of Secrets
2023/11/14 SecurityWeek — PyP Iパッケージにコミットされた Python コードを分析した結果において、何千ものハードコードされた認証情報が存在することが明らかになったと、コード・セキュリティ企業の GitGuardian が警告している。GitGuardian はセキュリティ研究者の Tom Forbes と共同で、約3,000の PyPI パッケージの中にある 4,000件ほどのユニークなシークレットを発見し、このうちの 760件以上が有効であると判明したとしている。
Continue reading “PyPI パッケージに漏れ出したシークレット情報:何千ものハードコードされた認証情報が存在”Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI
2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。
Continue reading “PyPI 汚染が露見:BlazeStealer マルウェアを隠し持つ悪意の Python パッケージ”48 Malicious npm Packages Found Deploying Reverse Shells on Developer Systems
2023/11/03 TheHackerNews — npm リポジトリで、48個の悪意の npm パッケージ・セットが、新たに発見された。それらは、侵害したシステム上にリバースシェルを展開する機能を持っているという。ソフトウェア・サプライチェーンのセキュリティ企業 Phylum は、「これらのパッケージは、正規のパッケージを偽装されており、そのインストール時にリバースシェルを開始するための、難読化された JavaScript を取り込んでいる」と述べている。すべての偽造パッケージは、hktalent (GitHub/X) という npm ユーザーにより公開されている。この記事の執筆時点で、hktalent がアップロードしたパッケージのうち、39個がダウンロード可能な状態にある。
Continue reading “npm で発見された 48個の悪意のパッケージ:難読化されたリバースシェルを展開”Malicious NuGet Package Targeting .NET Developers with SeroXen RAT
2023/10/12 TheHackerNews — .NET Framework のための NuGet パッケージ・マネージャーにホストされている悪質なパッケージが、SeroXen RAT というリモート・アクセス型のトロイの木馬を配信していることが判明した。このパッケージは、Pathoschild.Stardew.Mod.Build.Config と名付けられ、Disti というユーザーにより公開されているが、正規のパッケージであるPathoschild.Stardew.ModBuildConfig を装うタイポスクワッティングであると、サプライチェーン・セキュリティ会社 Phylum が、今日のレポートで指摘している。現時点において、正規のパッケージは約79,000ダウンロードを記録しているが、2023年10月6日に公開された悪意の亜種の方は、ダウンロード数を人為的に水増して、100,000 ダウンロードを超えているとされる。
Continue reading “NuGet に悪意のパッケージ:.NET 開発者に SeroXen RAT を配信している”Hundreds of malicious Python packages found stealing sensitive data
2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、4月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。
Continue reading “Python に潜むマルウェア:272種類のパッケージと 75,000回のダウンロード”GitHub Repositories Hit by Password-Stealing Commits Disguised as Dependabot Contributions
2023/09/28 TheHackerNews — 開発者からパスワードを盗むことを目的として、GitHub アカウントをハイジャックし、Dependabot の投稿を装いながら悪意のコードをコミットするという、新たな悪意のキャンペーンが観察された。Checkmarx はテクニカル・レポートで、「この悪意のコードは、GitHub プロジェクトで定義されたシークレットを、悪意の C2 サーバへと流出させる。それに加えて、攻撃したプロジェクト内の既存の javascript ファイルを、Webフォーム・パスワード・ステーラー・マルウェア・コードを用いて変更する」と述べている。
Continue reading “GitHub における偽装 Dependabot:悪意のコードをコミットさせる新たなキャンペーン”Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys
2023/09/20 TheHackerNews — 侵害済のマシンからリモート・サーバへ向けて、Kubernetes のコンフィグと SSH キーを流出させるようにデザインされた、悪意のパッケージを連携させる新たなバッチを、研究者たちが npm パッケージ・レジストリで発見した。Sonatype は、これまでに14種類の npm パッケージを発見したと発表した。具体的には、@am-fe/hooks、@am-fe/provider、@am-fe/request、@am-fe/utils、@am-fe/watermark、@am-fe/watermark-core、@dynamic-form-components/mui、@dynamic-form-components/shineout、@expue/app、@fixedwidthtable/fixedwidthtable、@soc-fe/use、@spgy/eslint-plugin-spgy-fe、@virtualsearchtable/virtualsearchtable、shineouts などである。
Continue reading “npm の悪意のパッケージの新たな動向:Kubernetes コンフィグと SSH キーを盗み出す”‘Culturestreak’ Malware Lurks Inside GitLab Python Package
2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。
Continue reading “Culturestreak というクリプト・マイナー:GitLab Python に潜んでいる”North Korean hackers behind malicious VMConnect PyPI campaign
2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。
Continue reading “北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施”New Python URL Parsing Flaw Could Enable Command Execution Attacks
2023/08/12 TheHackerNews — Python の URL 解析関数に、深刻な脆弱性 CVE-2023-24329 が発見された。その悪用に成功した攻撃者は、ブロック・リストを介して実装された、ドメインやプロトコルのフィルタリング方法のバイパスが可能になるという。そして、最終的には、任意のファイルの読み取りや、コマンドの実行を引き起こすことになると判明した。
Continue reading “Python の URL 解析の脆弱性 CVE-2023-24329 が FIX:任意のコマンド実行にいたる恐れ”
IoT OT Security News 
You must be logged in to post a comment.