PyPI上に不正コード含む「num2words」 - 開発者がフィッシング被害
Python向けライブラリ「num2words」が、サプライチェーン攻撃を受けたことがわかった。新バージョンに見せかけ、悪意あるコードを含む汚染されたプログラムが一時公開されたもので、開発者などに注意が呼びかけられている。
「num2words」は、数値を単語へ変換するライブラリ。開発者がフィッシング攻撃を受けたもので、公式パッケージのリポジトリである「PyPI」に悪意あるコードを含むプログラムが、新バージョンに見せかけて公開されたという。
問題あるバージョンは「同0.5.15」「同0.5.16」。GitHubでは識別子「GHSA-jxr6-qrxx-2ph2」として追跡されており、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」と評価されている。
不正に「PyPI」へアップされたプログラムは、いずれも正規のGitHubリポジトリにタグ付けが行われておらず、セキュリティ研究者が不正に気づいて報告。PyPI上から削除された。
同ライブラリを利用している一部プロジェクトでは、アップデートにより不正なバージョンが導入されていた事例も報告されている。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所
駿河屋サイトの改ざん、監視ツールの脆弱性経由 - 侵害検知以降にも流出
リサイクル着物の通販サイト、クレカ情報流出のおそれ
岐阜県の結婚支援サイトが改ざん - 個人情報流出は否定
複数ECサイトで個人情報流出か、営業は再開 - ユニバーサルミュージック
利用していたシフト管理SaaSから従業員情報が流出 - 西友
ビジネスフォン通販サイト、個人情報流出の可能性
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
オーガニック食品の通販サイトで個人情報流出の可能性
