PyPI上に不正コード含む「num2words」 - 開発者がフィッシング被害
Python向けライブラリ「num2words」が、サプライチェーン攻撃を受けたことがわかった。新バージョンに見せかけ、悪意あるコードを含む汚染されたプログラムが一時公開されたもので、開発者などに注意が呼びかけられている。
「num2words」は、数値を単語へ変換するライブラリ。開発者がフィッシング攻撃を受けたもので、公式パッケージのリポジトリである「PyPI」に悪意あるコードを含むプログラムが、新バージョンに見せかけて公開されたという。
問題あるバージョンは「同0.5.15」「同0.5.16」。GitHubでは識別子「GHSA-jxr6-qrxx-2ph2」として追跡されており、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」と評価されている。
不正に「PyPI」へアップされたプログラムは、いずれも正規のGitHubリポジトリにタグ付けが行われておらず、セキュリティ研究者が不正に気づいて報告。PyPI上から削除された。
同ライブラリを利用している一部プロジェクトでは、アップデートにより不正なバージョンが導入されていた事例も報告されている。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
郡上八幡の特産品扱う通販サイトが不正アクセス被害
観光業界向けオンラインメディアが改ざん被害 - 外部サイトへ誘導
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
草津市指定管理者の運営2サイトが改ざん被害 - 偽警告を表示
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
サイバー攻撃で一部顧客情報が流出したおそれ - 古野電気
自治体向け電子申請システムにPWリスト攻撃 - 約400人に影響か
「愛知全県模試」受験者情報が流出した可能性 - SQLi攻撃で
財布通販サイトに不正アクセス - 個人情報流出の可能性
会員管理システムから個人情報が流出した可能性 - 日本発生生物学会
