プログラム言語のPythonとPHPのライブラリが乗っ取られて悪意のあるバージョンが公開、開発者の情報が収集される

プログラミング言語であるPythonを開発に用いるためのモジュールの人気なもののひとつである「ctx」が、モジュールを取得した開発者の情報を侵害する悪意ある変更を加えられていたことが判明しました。また、オープンソースのプログラミング言語であるPHPの全250万回以上ダウンロードされたモジュールである「phpass」にも悪意のあるバージョンが含まれていたと報じられています。

Popular Python and PHP libraries hijacked to steal AWS keys
https://www.bleepingcomputer.com/news/security/popular-python-and-php-libraries-hijacked-to-steal-aws-keys/

PyPI package 'ctx' and PHP library 'phpass' compromised to steal environment variables
https://blog.sonatype.com/pypi-package-ctx-compromised-are-you-at-risk

「ctx」は、開発者がさまざまな方法で「辞書オブジェクト」を操作できるようにするPythonモジュールで、週に2万回以上ダウンロードされるほど人気なパッケージです。2014年以降は開発者による更新がしばらくなく、2022年5月15日に久々の新バージョンが登場したのですが、悪意のあるコードが加えられていたことがわかりました。

by Sonatype

アメリカにあるソフトウェアセキュリティの企業・Sonatypeのセキュリティ研究チームが精査したところ、「ctx」の全てのバージョンに悪意のあるコードが存在することが示されました。Python Package Index(PyPI)から削除された悪意のあるバージョンだけではなく、2014年以降変更されていなかったバージョン0.1.2も同様に、悪意のあるものに置き換えられていたとSonatypeは報告しています。

by Sonatype

また、ハッカーのサムデブ・サングワン氏は2022年5月24日に、「PHPのパッケージである『phpass』に悪意のあるコードが含まれており、AWS(Amazon Web Services)のキーを侵害する可能性があります」と警告しています。

「phpass」への侵害も、悪意のあるバージョンが更新されたことによる同様の攻撃と考えられています。phpassは2005年にリリースされて以降250万回以上ダウンロードされており、悪意のあるバージョンに更新されてからのダウンロード数は不明なものの、人気なパッケージのため一定数のユーザーが侵害されていると見られています。

悪意のある「ctx」モジュールがインストールされると、開発環境の変数をすべて収集してアップロードしてしまいます。また、「phpass」内の変更されたファイルは、インストールされた環境内の「AWS_ACCESS_KEY」と「AWS_SECRET_KEY」の値を具体的に検索し、同じポイントにアップロードされる仕組みになっていたそうです。

今回の件の研究者たちは、「これらの攻撃は同じ人物によるものであり、その身元も明らかになっています」と述べた上で、詳細が明らかになるまでは具体的な発表を控えています。研究者たちは今回のようなタイプの攻撃を「レポジャッキング」(リポジトリハイジャック)と読んでおり、長年更新されていないリポジトリが突然変更されたような場合には、悪意が含まれる可能性があると注意を促しています。