Drie biblioteke wat kwaadwillige kode bevat, is in die PyPI (Python Package Index) gids geïdentifiseer. Voordat probleme geïdentifiseer en uit die katalogus verwyder is, is die pakkette byna 15 duisend keer afgelaai.
Die pakkette dpp-kliënt (10194 1234 aflaaie) en dpp-kliënt1536 (XNUMX XNUMX aflaaie) is sedert Februarie versprei en het kode ingesluit vir die stuur van die inhoud van omgewingsveranderlikes, wat byvoorbeeld toegangsleutels, tekens of wagwoorde na deurlopende integrasiestelsels kan insluit of wolkomgewings soos AWS. Die pakkette het ook 'n lys met die inhoud van die "/home", "/mnt/mesos/" en "mnt/mesos/sandbox"-gidse na die eksterne gasheer gestuur.
Die aws-login0tool-pakket (3042 aflaaie) is op 1 Desember na die PyPI-bewaarplek geplaas en het kode ingesluit om 'n Trojaanse toepassing af te laai en te laat loop om beheer oor gashere wat loop, te verkry. WindowsToe die pakketnaam gekies is, was die idee dat die "0" en "-" sleutels naby mekaar is, so dit is waarskynlik dat die ontwikkelaar "aws-login0tool" in plaas van "aws-login-tool" sal tik.
Die problematiese pakkette is tydens 'n eenvoudige eksperiment geïdentifiseer, waarin 'n gedeelte van die PyPI-pakkette (ongeveer 200 duisend uit 330 duisend pakkette in die bewaarplek) afgelaai is met behulp van die Bandersnatch-hulpmiddel, waarna die grep-hulpprogram die pakkette wat was geïdentifiseer en ontleed genoem in die setup.py-lêer Die "import urllib.request"-oproep, wat tipies gebruik word om versoeke na eksterne gashere te stuur.
Bron: opennet.ru
