サイバーセキュリティ研究者は、Python Package Index (PyPI) リポジトリで、Solanaブロックチェーンに関連するアプリケーションを装いながら、ソースコードや開発者の秘密を盗む悪意のある機能を持つパッケージを発見しました。
このパッケージはsolana-tokenと名付けられ、現在はPyPIからダウンロードできなくなっていますが、761回ダウンロードされる前に削除されました。これは2024年4月初旬にPyPIに初めて公開されましたが、全く異なるバージョン番号のスキームが使用されていました。
「インストールされると、この悪意のあるパッケージは、開発者のマシンからハードコードされたIPアドレスにソースコードや開発者の秘密を流出させようとします」とReversingLabsの研究者Karlo ZankiはThe Hacker Newsに共有したレポートで述べています。
特に、このパッケージは「register_node()」というブロックチェーン機能を装い、Python実行スタック内のすべてのファイルに含まれるソースコードをコピーして流出させるように設計されています。
この異常な動作は、攻撃者が、プログラムの初期段階でハードコードされている可能性のある機密な暗号関連の秘密を流出させようとしていることを示唆しています。
独自のブロックチェーンを作成しようとしている開発者が、このパッケージの背後にいる脅威アクターの主なターゲットであったと考えられています。この評価は、パッケージ名とその中に組み込まれた機能に基づいています。
このパッケージがどのようにしてユーザーに配布されたかの正確な方法は現在不明ですが、開発者向けプラットフォームで宣伝された可能性があります。
いずれにせよ、この発見は、暗号通貨が依然としてサプライチェーンの脅威アクターにとって最も人気のあるターゲットの一つであることを強調しており、開発者が使用する前にすべてのパッケージを精査する必要があることを示しています。
「開発チームは、オープンソースおよび商用のサードパーティソフトウェアモジュール内での疑わしい活動や説明のつかない変更を積極的に監視する必要があります」とZankiは述べています。「安全な開発環境に侵入する前に悪意のあるコードを阻止することで、チームは破壊的なサプライチェーン攻撃を防ぐことができます。」
翻訳元: https://thehackernews.com/2025/05/malicious-pypi-package-posing-as-solana.html