Python paket kataloqunda PyPI (Python Paket İndeksi) zərərli paketlər""Və"", bir müəllif tərəfindən yüklənmiş olgired2017 və məşhur paketlər kimi maskalanmış ""Və"" (adda "l" (L) əvəzinə "I" (i) simvolunun istifadəsi ilə fərqlənir). Göstərilən paketlər quraşdırıldıqdan sonra sistemdə tapılan şifrələmə açarları və məxfi istifadəçi məlumatları təcavüzkarın serverinə göndərilib. Problemli paketlər indi PyPI kataloqundan silinib.
Zərərli kodun özü "jeIlyfish" paketində mövcud idi və "python3-dateutil" paketi ondan asılılıq kimi istifadə edirdi.
Adlar axtarış zamanı səhvlərə yol verən diqqətsiz istifadəçilər əsasında seçilib (). “JeIlyfish” zərərli paketi təxminən bir il əvvəl, 11 dekabr 2018-ci ildə yükləndi və aşkarlanmadı. "python3-dateutil" paketi 29 noyabr 2019-cu ildə yükləndi və bir neçə gün sonra tərtibatçılardan birində şübhə doğurdu. Zərərli paketlərin quraşdırılmasının sayı barədə məlumat verilmir.
Meduza paketinə GitLab əsaslı xarici repozitoriyadan “hesh”lərin siyahısını endirən kod daxil idi. Bu “haşlarla” işləmək məntiqinin təhlili göstərdi ki, onların tərkibində base64 funksiyasından istifadə etməklə kodlanmış və deşifrədən sonra işə salınmış skript var. Skript sistemdə SSH və GPG açarlarını, həmçinin ev kataloqundan bəzi növ faylları və PyCharm layihələri üçün etimadnamələri tapdı və sonra onları DigitalOcean bulud infrastrukturunda işləyən xarici serverə göndərdi.
Mənbə: opennet.ru