オープンソース Python パッケージの公式サードパーティ レジストリである PyPI は、追って通知があるまで、新規ユーザーのサインアップとプラットフォームへの新しいプロジェクトのアップロードを一時的に停止しました。
この画期的な動きは、大量の悪意のあるユーザーとパッケージの流入にレジストリが対応するのに苦労しているさなかに行われた。
PyPIは新規ユーザーとプロジェクトを一時的に停止します
本日現在、Python Package Index (一般的に PyPI として知られています) は、追って通知があるまで、新規ユーザー登録とプロジェクトの作成を一時的に停止しています。
本日 5 月 20 日に PyPI 管理者によって投稿されたインシデント通知には、「PyPI での新規ユーザーおよび新規プロジェクト名の登録は一時的に停止されています」と記載されて います。
「過去 1 週間でインデックス上に作成された悪意のあるユーザーと悪意のあるプロジェクトの量は、特に複数の PyPI 管理者が休暇中であるため、タイムリーに対応する能力を上回っています。」
レジストリ管理者はプラットフォームへの新規登録を凍結した正確な犯人(悪意のある人物やプロジェクト名)を明らかにしていないが、より恒久的な解決策が見つかるまで、この予防的な措置により敵対者を追い払うことが期待されている。
「週末にグループを再編成する間、新規ユーザーと新規プロジェクトの登録は一時的に停止されます。」
他のオープンソース レジストリと同様、PyPI はマルウェアを配布しようとする敵対者によって悪用される可能性があります。
2023 年 3 月、悪意のあるPyPI パッケージのcolourfool が、リスク コンサルティング会社 Kroll によって「Color-Blind」マルウェアと呼ばれるものを配布していたことが捕まりました。
同月、Sonatype によって特定された PyPI パッケージ「microsoft-helper」と「reverse-shell」が、Discord を悪用して秘密を漏洩する情報窃盗プログラムをドロップしていることが捕まりました。
PyPI 管理者による今日の動きは、レジストリで利用可能な Python パッケージの既存のメンテナがアーティファクトの新しいバージョンを公開することに影響を与える可能性は低いです。
これは発展途上の物語です…
Comments