PyPI上に不正コード含む「num2words」 - 開発者がフィッシング被害
Python向けライブラリ「num2words」が、サプライチェーン攻撃を受けたことがわかった。新バージョンに見せかけ、悪意あるコードを含む汚染されたプログラムが一時公開されたもので、開発者などに注意が呼びかけられている。
「num2words」は、数値を単語へ変換するライブラリ。開発者がフィッシング攻撃を受けたもので、公式パッケージのリポジトリである「PyPI」に悪意あるコードを含むプログラムが、新バージョンに見せかけて公開されたという。
問題あるバージョンは「同0.5.15」「同0.5.16」。GitHubでは識別子「GHSA-jxr6-qrxx-2ph2」として追跡されており、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」と評価されている。
不正に「PyPI」へアップされたプログラムは、いずれも正規のGitHubリポジトリにタグ付けが行われておらず、セキュリティ研究者が不正に気づいて報告。PyPI上から削除された。
同ライブラリを利用している一部プロジェクトでは、アップデートにより不正なバージョンが導入されていた事例も報告されている。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
ネットストアの第三者による不正ログインに注意喚起 - 資生堂
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
ジモティー開発環境の侵害、自動ビルド用外部プログラムに不正コード
笹だんご通販サイトの不正アクセス - 影響範囲が判明
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
リサイクル着物の通販サイト、クレカ情報流出のおそれ
岐阜県の結婚支援サイトが改ざん - 個人情報流出は否定
複数ECサイトで個人情報流出か、営業は再開 - ユニバーサルミュージック
