PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽

Researchers Uncover PyPI Package Hiding Malicious Code Behind Image File

2022/11/10 TheHackerNews — PyPI (Python Package Index) が提供されるパッケージの中に、ステガノグラフィを用いて画像ファイル内に、悪意のコードを隠すものが発見された。イスラエルのサイバー・セキュリティ企業 Check Point の説明によると、そのパッケージは apicolor という名前で提供される、REST API 用の Core lib とのことだ。2022年10月31日に apicolor は、Python のサードパーティ・リポジトリにアップロードされたが、その後に削除されている。

Continue reading “PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽”

PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける

Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware

2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。

Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”

API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている

Thousands of Publicly Exposed API Tokens Could Threaten Software Integrity

2022/10/21 InfoSecurity — 機密情報/データ/プライベート・ネットワークなどへのアクセスを脅威アクターに許し、ソフトウェアの完全性を脅かしてしまう数千のアクティブな API Token が、Web 上で公開されていることが発見された。この結果は、JFrog のセキュリティ研究者たちが、同社のセキュリティ・ソリューションの新機能をテストしている際に発見されたものだ。

Continue reading “API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている”

Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?

Malicious NPM Package Caught Mimicking Material Tailwind CSS Package

2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。

Continue reading “Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?”

PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響

350K Open-Source Projects At Risk of Supply Chain Vulnerability

2022/09/21 InfoSecurity — Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものだ。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大している。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいる。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資している。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べている。

Continue reading “PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響”

オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機

Open Source Repository Attacks Soar 700% in Three Years

2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。

Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”

PyPI パッケージ・メンテナを攻撃:巧妙なフィッシングでプロジェクトを乗っ取る

PyPI packages hijacked after developers fall for phishing emails

2022/08/25 BleepingComputer — 昨日に検出されたフィッシング・キャンペーンは、PyPI レジストリで公開される Python パッケージの、メンテナをターゲットにするものだったようだ。Python パッケージである exotel と spam は、マルウェアが混入された数百のパッケージの中の1つであり、フィッシング・メールで騙したメンテナのアカウントへ、攻撃者たちが侵入に成功した結果である。 

Continue reading “PyPI パッケージ・メンテナを攻撃:巧妙なフィッシングでプロジェクトを乗っ取る”

PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”

PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”

RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化

RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers

2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。

Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”

PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ

Malicious PyPi packages aim DDoS attacks at Counter-Strike servers

2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。

Continue reading “PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ”

PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布

A new PyPI Package was found delivering fileless Linux Malware

2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。

Continue reading “PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布”

PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取

10 Credential Stealing Python Libraries Found on PyPI Repository

2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。

Continue reading “PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取”

GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心

35,000 code repos not hacked—but clones flood GitHub to serve malware

2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。

Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”

GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加

GitHub introduces 2FA and quality of life improvements for npm

2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。

Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”

PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も

PyPI mandates 2FA for critical projects, developer pushes back

2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。 

Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”

悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる

Malicious PyPI packages hijack dev devices to mine cryptocurrency

2021/06/22 BleepingComputer — 今週のこと、複数の悪意のパッケージが PyPI の Python Project リポジトリに取り込まれ、開発者のワークステーションを暗号マイニング・マシンに変えてしまった。すべての悪意のパッケージは、同じアカウントで公開されており、正規の Python Project 名を誤魔化して使うことで、開発者を騙して何千回もダウンロードさせてた。

Continue reading “悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる”

GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る

GitHub now scans for accidentally-exposed PyPI, RubyGems secrets

2021/06/09 BleepingComputer — 最近の GitHub は、PyPI と RubyGems のレジストリにおける機密情報を含むリポジトリに対して、スキャン機能を拡張している。それにより、Ruby や Python の開発者が作成した、何百万ものアプリケーションの保護が実現される。つまり、開発者たちは、GitHub の公開リポジトリの中に、何らかの機密情報や認証情報を不用意にコミットしている可能性があるのだ。

Continue reading “GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る”

Fastly CDN の障害により数多くの Web サイトがダウン

StackOverflow, Twitch, Reddit, others down in Fastly CDN outage

2021/06/08 BleepingComputer — グローバル・ネットワークの停止により、世界中の主要な Web サイトが完全にダウンし、また、正しくコンテンツを読み込めないという状況に陥った。BleepingComputerによると、この記事を執筆された 6月8日の時点で、影響を受けているサイトは以下の通りとなる。

Continue reading “Fastly CDN の障害により数多くの Web サイトがダウン”

Python の公式レポジトリ PyPI にスパム・パッケージが隠れている

Spammers flood PyPI with pirated movie links and bogus packages

2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。

Continue reading “Python の公式レポジトリ PyPI にスパム・パッケージが隠れている”