PyPIリポジトリで、SymPyライブラリを装った欺瞞的なパッケージが発見された。この悪意あるソフトウェアはLinuxシステムを標的にし、メモリ内技術を通じてXMRig暗号通貨マイナーをダウンロード・実行する。セキュリティ研究者は、オープンソースエコシステムにおけるこうしたサプライチェーン攻撃のリスクを強調している。
Pythonパッケージインデックス(PyPI)は、Python開発者の主要なリポジトリであり、マルウェア配布の経路となっている。The Hacker Newsの研究者が、「sympy-dev」という偽のパッケージを発見したと報告した。これは正当なSymPy数値ライブラリを模倣するよう設計されている。インストールすると、期待される機能を提供せず、代わりに隠密なペイロードを開始する。具体的に、このマルウェアはLinuxホスト上でMonero暗号通貨マイニングに一般的に使用されるXMRigマイナーを取得・実行する。従来のウイルス対策ソフトによる検知を回避するため、メモリ内実行手法を採用し、ディスクにファイルを書き込まずにマイナーを動作させる。この手法はフォレンジック痕跡を最小限に抑え、除去作業を複雑化する。このような事件は、開発者が知らずに侵害された依存関係をインストールする可能性があるソフトウェアサプライチェーンの脆弱性を浮き彫りにする。科学計算で記号数学に広く使われるSymPyライブラリは、その人気から魅力的な標的だ。報告書では具体的な被害者や広範な影響は詳述されていないが、この出来事はパッケージの真正性を確認し、異常なシステム動作を監視するようユーザーに思い出させる。専門家は、pip-auditなどのツールで依存関係をスキャンし、ライブラリを最新に保つことを推奨する。オープンソースプラットフォームが成長する中、なりすまし戦術に対する警戒はエコシステムの信頼を維持するために不可欠だ。
