はじめに

サイバーセキュリティ研究者らは、Python Package Index (PyPI) リポジトリにおいて、スペルチェッカーを装いながらリモートアクセス型トロイの木馬（RAT）を配布する機能を持つ悪意ある2つのパッケージを発見しました。これらのパッケージ、「spellcheckerpy」と「spellcheckpy」は、PyPIから既に削除されましたが、合計で1,000回以上ダウンロードされていました。

悪意あるパッケージの巧妙な手口

Aikidoの研究者チャーリー・エリクセン氏によると、バスク語辞書ファイル内にBase64エンコードされたペイロードが隠されており、これがフル機能のPython RATをダウンロードする仕組みになっていました。攻撃は、正当な「pyspellchecker」パッケージのバスク語単語頻度を含む「resources/eu.json.gz」ファイル内に仕込まれていました。一見無害に見えるこのパッケージですが、「SpellChecker」をインポートした瞬間に、難読化された実行トリガーが作動し、悪意ある動作が引き起こされます。特に「spellcheckpy v1.2.0」（2026年1月21日公開）では、ペイロードの実行能力が追加されています。

この最初の段階では、外部ドメイン「updatenet[.]work」からPythonベースのRATをダウンロードするように設計されています。このRATは、侵害されたホストのフィンガープリントを取得し、コマンドを解析・実行する能力を持っています。このドメインは2025年10月下旬に登録されており、過去に国家支援グループにサービスを提供した履歴のあるホスティングプロバイダー「RouterHosting LLC（別名Cloudzy）」が管理するIPアドレスと関連しています。

広がるサプライチェーン攻撃の脅威

偽のPythonスペルチェッカーツールがPyPIで検出されたのは、これが初めてではありません。2025年11月には、HelixGuardが「spellcheckers」という悪意あるパッケージを発見しており、これもRATペイロードを取得・実行する機能を持っていました。これらの攻撃は、同一の脅威アクターによるものであると疑われています。

また、これと時を同じくして、npmパッケージでもデータ窃盗や仮想通貨ウォレットを標的とした複数の悪意ある活動が確認されています。具体的には以下のパッケージが挙げられます。

• flockiali (1.2.3-1.2.6)、opresc (1.0.0)、prndn (1.0.0)、oprnm (1.0.0)、operni：これらは、特定の産業・エネルギー企業の従業員を狙ったスピアフィッシングキャンペーンの一環として、偽のMicrosoftブランドのログイン画面を表示するJavaScriptファイルを含んでいました。
• ansi-universal-ui (1.3.5, 1.3.6, 1.3.7, 1.4.0, 1.4.1)：UIコンポーネントライブラリを装いながら、Webブラウザの認証情報、仮想通貨ウォレット、クラウド認証情報、Discordトークンを外部に送信するPythonベースの窃盗マルウェア「G_Wagon」を配布していました。

AIエージェントを悪用する新たな手口「スロップスクワッティング」

今回の情報公開は、Aikido社が指摘する「スロップスクワッティング」という脅威とも重なります。これは、AI搭載エージェントが実在しないパッケージを「幻覚」として生成し、それを脅威アクターが利用して悪意のあるコードを下流のユーザーに送り込む可能性があるというものです。同社が挙げた事例では、架空のnpmパッケージ「react-codeshift」が、2025年10月中旬に大規模言語モデルによって生成されて以来、237ものGitHubリポジトリで参照されており、中にはAIエージェントにそのインストールを指示しているものもありました。

エリクセン氏は、「なぜ237ものリポジリに拡散したのか？ それはエージェントのスキルファイルです。コピーされ、フォークされ、日本語に翻訳され、一度も検証されませんでした」と述べています。そして、「スキルは新たなコードであり、MarkdownやYAML、フレンドリーな指示文のように見えますが、それらは実行可能です。AIエージェントは、『このパッケージは本当に存在するのか？』と問うことなくそれらに従います」と警告しています。

元記事: https://thehackernews.com/2026/01/fake-python-spellchecker-packages-on.html