Pythonソフトウェア財団は今週、脅威アクターが偽のPython Package Index(PyPI)ウェブサイトを使ったフィッシング攻撃でユーザーの認証情報を盗もうとしていると警告しました。
PyPIはpypi.orgでアクセスできるPythonパッケージのリポジトリで、開発者がサードパーティ製ソフトウェアライブラリを配布・インストールするための集中型プラットフォームを提供しています。数十万のパッケージがホストされており、Pythonのパッケージ管理ツールのデフォルトソースです。
「PyPI自体がハッキングされたわけではありませんが、ユーザーが偽のPyPIサイトにログインするよう仕向けるフィッシング攻撃の標的となっています。ここ数日間、パッケージメタデータにメールアドレスを記載してPyPIにプロジェクトを公開しているユーザーには、noreply@pypj.orgというメールアドレスから『[PyPI] Email verification』という件名のメールが届いている可能性があります」とPyPI管理者のMike Fiedler氏は注意を呼びかけました。
「これはPyPI自体のセキュリティ侵害ではなく、PyPIへの信頼を悪用したフィッシング攻撃です。メールにはメールアドレスの確認のためリンクをクリックするよう指示があり、そのリンク先はPyPIに似せたフィッシングサイトですが、公式サイトではありません。」
悪意のあるウェブサイトを開くと、標的となったユーザーはサインインを求められ、そのリクエストがPyPIに送信されることで、ユーザーはPyPIにログインしたと錯覚させられます。
しかし実際には、攻撃者が認証情報を収集しており、今後これらの情報を使ってユーザーがPyPIにアップロードしたPythonパッケージにマルウェアを仕込んだり、新たな悪意のあるパッケージをプラットフォームにアップロードしたりする可能性があります。

PyPI管理者は、PyPIのホームページにもこのフィッシング攻撃に関する警告バナーを追加しており、現在この攻撃キャンペーンを阻止する方法を模索しています。
「また、フィッシングサイトに関して商標権や不正利用の通知を送ったCDNプロバイダーやドメイン登録業者からの対応も待っています」とFiedler氏は付け加えました。
これらのフィッシングメールを受け取ったPython開発者やPyPIユーザーは、メール内のリンクをクリックせず、直ちにメールを削除するよう推奨されています。
すでにpypj[.]orgのフィッシングサイトで認証情報を入力してしまった場合は、直ちにPyPIのパスワードを変更し、アカウントのセキュリティ履歴に不審な活動がないか確認してください。
2月には、Pythonソフトウェア財団が「Project Archival」という新システムを導入し、PyPIのパブリッシャーがプロジェクトをアーカイブできるようにし、ユーザーに今後更新がないことを示せるようにしました。
またPyPIは、2024年3月に数百件の正規プロジェクトを装った悪意のあるパッケージがアップロードされたマルウェアキャンペーンに関連して、新規ユーザー登録と新規プロジェクト作成を一時停止せざるを得ませんでした。
クラウド検知&レスポンス入門
新たな脅威をビジネスに影響が出る前にリアルタイムで封じ込めましょう。
この実践的かつ分かりやすいガイドで、クラウド検知とレスポンス(CDR)がセキュリティチームにどのような優位性をもたらすか学びましょう。