PyPI上に不正コード含む「num2words」 - 開発者がフィッシング被害
Python向けライブラリ「num2words」が、サプライチェーン攻撃を受けたことがわかった。新バージョンに見せかけ、悪意あるコードを含む汚染されたプログラムが一時公開されたもので、開発者などに注意が呼びかけられている。
「num2words」は、数値を単語へ変換するライブラリ。開発者がフィッシング攻撃を受けたもので、公式パッケージのリポジトリである「PyPI」に悪意あるコードを含むプログラムが、新バージョンに見せかけて公開されたという。
問題あるバージョンは「同0.5.15」「同0.5.16」。GitHubでは識別子「GHSA-jxr6-qrxx-2ph2」として追跡されており、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」と評価されている。
不正に「PyPI」へアップされたプログラムは、いずれも正規のGitHubリポジトリにタグ付けが行われておらず、セキュリティ研究者が不正に気づいて報告。PyPI上から削除された。
同ライブラリを利用している一部プロジェクトでは、アップデートにより不正なバージョンが導入されていた事例も報告されている。
(Security NEXT - 2025/08/01 )
ツイート
PR
関連記事
英国ブランド通販サイト、約3年間にわたりクレカ情報流出の可能性
サンプルコードなどの既知シークレット流用、サイト侵害の原因に
オーガニック食品の通販サイトで個人情報流出の可能性
6月の侵害は未知の手口、米子会社で別件インシデントも - 古野電気
サイバー攻撃で一部顧客情報が流出したおそれ - 古野電気
作業服通販サイトに不正アクセス - 2024年に判明、新サイトへ移行
F5にサイバー攻撃 - 未公開の脆弱性含む機器関連情報が流出
健康靴の通販サイト、個人情報流出の可能性
Red HatのGitLab環境が侵害 - サプライチェーンへの影響なし
笹だんごの通販サイトに不正アクセス - 個人情報流出の可能性
