Drie biblioteke wat kwaadwillige kode bevat, is in die PyPI (Python Package Index) gids geïdentifiseer. Voordat probleme geïdentifiseer en uit die katalogus verwyder is, is die pakkette byna 15 duisend keer afgelaai.
Die pakkette dpp-kliënt (10194 1234 aflaaie) en dpp-kliënt1536 (XNUMX XNUMX aflaaie) is sedert Februarie versprei en het kode ingesluit vir die stuur van die inhoud van omgewingsveranderlikes, wat byvoorbeeld toegangsleutels, tekens of wagwoorde na deurlopende integrasiestelsels kan insluit of wolkomgewings soos AWS. Die pakkette het ook 'n lys met die inhoud van die "/home", "/mnt/mesos/" en "mnt/mesos/sandbox"-gidse na die eksterne gasheer gestuur.
Die aws-login0tool-pakket (3042 1 aflaaie) is op 0 Desember na die PyPI-bewaarplek geplaas en het kode ingesluit om 'n Trojaanse toepassing af te laai en te laat loop om beheer te neem van gashere wat Windows bestuur. By die keuse van die pakketnaam is die berekening gemaak op grond van die feit dat die "0" en "-" sleutels naby is en daar is 'n moontlikheid dat die ontwikkelaar "aws-loginXNUMXtool" sal tik in plaas van "aws-login-tool".
Die problematiese pakkette is tydens 'n eenvoudige eksperiment geïdentifiseer, waarin 'n gedeelte van die PyPI-pakkette (ongeveer 200 duisend uit 330 duisend pakkette in die bewaarplek) afgelaai is met behulp van die Bandersnatch-hulpmiddel, waarna die grep-hulpprogram die pakkette wat was geïdentifiseer en ontleed genoem in die setup.py-lêer Die "import urllib.request"-oproep, wat tipies gebruik word om versoeke na eksterne gashere te stuur.
Bron: opennet.ru