セキュリティ情報

Pythonのパッケージ「ctx」に不審な変更、注意喚起

SANS Internet Storm Centerは5月24日(現地時間)、Pythonのパッケージコレクションに関する分析結果を発表し、パッケージ「ctx」に悪意のあるコードが混入していることを報告した。

 発表によると、pypi.orgに登録されている「ctx」パッケージの一部が、悪意のあるコードにアップデートされていたという。「ctx」は、dictオブジェクトのサブクラスであるCtxを提供するもので、2014年12月19日の「ctx 0.1.2」が最後のアップデートだったと見られる。また、このアップデートをもとに開発が終了したものと考えられる。

しかし、ctxは2022年5月21日に「ctx 0.1.2」が新しい「ctx 0.1.2」に置き換えられ、また「ctx 0.2.2」と「ctx 0.2.6」が新たに公開されている。そして、「0.1.2」と「0.2.6」に、情報を窃取するなどの不正な機能が追加されていたという。

 利用者には、提供される情報に注意するとともに、必要に応じて該当するパッケージを利用しないようにするなどの措置を取るよう注意が呼び掛けられている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス