تم تحديد ثلاث مكتبات تحتوي على تعليمات برمجية ضارة في دليل PyPI (Python Package Index). قبل تحديد المشاكل وإزالتها من الكتالوج، تم تنزيل الحزم حوالي 15 ألف مرة.
تم توزيع حزمتي dpp-client (10194 تنزيلًا) وdpp-client1234 (1536 تنزيلًا) منذ شهر فبراير وتضمنت تعليمات برمجية لإرسال محتويات متغيرات البيئة، والتي يمكن، على سبيل المثال، أن تتضمن مفاتيح الوصول أو الرموز المميزة أو كلمات المرور إلى أنظمة التكامل المستمر أو البيئات السحابية مثل AWS. أرسلت الحزم أيضًا قائمة تحتوي على محتويات أدلة "/home" و"/mnt/mesos/" و"mnt/mesos/sandbox" إلى المضيف الخارجي.
تم نشر حزمة aws-login0tool (3042 تنزيلًا) في مستودع PyPI في الأول من ديسمبر وتضمنت تعليمات برمجية لتنزيل وتشغيل تطبيق حصان طروادة للتحكم في الأجهزة المضيفة التي تعمل بنظام Windows. عند اختيار اسم الحزمة، تم الحساب على حقيقة أن المفتاحين "1" و"-" قريبان وهناك احتمال أن يكتب المطور "aws-login0tool" بدلاً من "aws-login-tool".
تم التعرف على الحزم التي بها مشاكل خلال تجربة بسيطة، حيث تم تنزيل جزء من حزم PyPI (حوالي 200 ألف من أصل 330 ألف حزمة في المستودع) باستخدام الأداة المساعدة Bandersnatch، وبعد ذلك قامت الأداة المساعدة grep بتحديد الحزم التي تم حلها وتحليلها المذكورة في ملف setup.py، استدعاء "import urllib.request"، يُستخدم عادةً لإرسال الطلبات إلى مضيفين خارجيين.
المصدر: opennet.ru