AWSのシークレットとキーを盗むことになった複数のバックドアPythonライブラリ from thehackernews.com
security summary
研究者は、公式のサードパーティソフトウェアリポジトリで、AWSクレデンシャルと環境変数を公開されたエンドポイントに盗み出すように設計された多数の悪意のあるPythonパッケージを発見しました。
これで、パッケージとエンドポイントが削除されました。
「これらのパッケージの中には、秘密を読み取って盗み出すコードが含まれているか、その仕事をする依存関係の1つを使用しているものがあります」とSharma氏は述べています。
「pygrata」のようなパッケージは、前述の2つのモジュールのいずれかを依存関係として使用し、コード自体を含まないことに注意してください。
このような不正なパッケージがオープンソースリポジトリで発掘されたのはこれが初めてではありません。
コメント