تم التعرف على ثلاث مكتبات تحتوي على تعليمات برمجية ضارة في دليل PyPI (Python Package Index). قبل اكتشاف المشكلات وإزالتها من الكتالوج، تم تنزيل الحزم ما يقرب من 15 ألف مرة في المجموع.
تم توزيع حزمتي dpp-client (10194 عملية تنزيل) وdpp-client1234 (1536 عملية تنزيل) منذ فبراير، وتضمنتا كودًا لإرسال محتويات متغيرات البيئة، والتي قد تتضمن، على سبيل المثال، مفاتيح الوصول أو الرموز أو كلمات المرور إلى أنظمة التكامل المستمر أو بيئات السحابة مثل AWS. كما أرسلت الحزم أيضًا قائمة بمحتويات الدلائل "/home" و"/mnt/mesos/" و"mnt/mesos/sandbox" إلى المضيف الخارجي.
تم نشر حزمة aws-login0tool (3042 عملية تنزيل) في مستودع PyPI في 1 ديسمبر، وتضمنت رمزًا لتنزيل وتشغيل تطبيق حصان طروادة للسيطرة على الأجهزة المضيفة التي تعمل Windowsعند اختيار اسم الحزمة، كانت الفكرة هي أن المفتاحين "0" و "-" متقاربان، لذلك من المحتمل أن يكتب المطور "aws-login0tool" بدلاً من "aws-login-tool".
تم التعرف على الحزم الإشكالية من خلال تجربة بسيطة تم فيها تنزيل مجموعة فرعية من حزم PyPI (حوالي 200 من أصل 330 حزمة في المستودع) باستخدام Bandersnatch، ثم تم استخدام أداة grep لتحديد وتحليل تلك الحزم التي ذكر ملف setup.py الخاص بها استدعاء "import urllib.request"، والذي يستخدم عادةً لإرسال الطلبات إلى مضيفين خارجيين.
المصدر: opennet.ru
