Pythonのパッケージ「ctx」に不審な変更、注意喚起

2022年5月25日(水)

SANS Internet Storm Centerは5月24日(現地時間)、Pythonのパッケージコレクションに関する分析結果を発表し、パッケージ「ctx」に悪意のあるコードが混入していることを報告した。

 発表によると、pypi.orgに登録されている「ctx」パッケージの一部が、悪意のあるコードにアップデートされていたという。「ctx」は、dictオブジェクトのサブクラスであるCtxを提供するもので、2014年12月19日の「ctx 0.1.2」が最後のアップデートだったと見られる。また、このアップデートをもとに開発が終了したものと考えられる。

しかし、ctxは2022年5月21日に「ctx 0.1.2」が新しい「ctx 0.1.2」に置き換えられ、また「ctx 0.2.2」と「ctx 0.2.6」が新たに公開されている。そして、「0.1.2」と「0.2.6」に、情報を窃取するなどの不正な機能が追加されていたという。

 利用者には、提供される情報に注意するとともに、必要に応じて該当するパッケージを利用しないようにするなどの措置を取るよう注意が呼び掛けられている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

※本ニュース記事はびぎねっとITニュースから提供を受けて配信しています。
転載元はこちらをご覧ください。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る