PyPI (Python Package Index) kataloqunda zərərli kodu ehtiva edən üç kitabxana müəyyən edilib. Problemlər müəyyən edilərək kataloqdan çıxarılana qədər paketlər təxminən 15 min dəfə endirilib.
dpp-client (10194 endirmə) və dpp-client1234 (1536 endirmə) paketləri fevral ayından paylanmış və ətraf mühit dəyişənlərinin məzmununu göndərmək üçün kod daxil edilmişdir, məsələn, davamlı inteqrasiya sistemlərinə giriş açarları, işarələr və ya parollar daxil ola bilər. və ya AWS kimi bulud mühitləri. Paketlər həmçinin xarici hosta "/home", "/mnt/mesos/" və "mnt/mesos/sandbox" kataloqlarının məzmununu ehtiva edən siyahı göndərib.
aws-login0tool paketi (3042 endirmə) dekabrın 1-də PyPI repozitoriyasına yerləşdirilib və ona Windows ilə işləyən hostlara nəzarət etmək üçün Trojan proqramını yükləmək və işə salmaq üçün kod daxil edilib. Paket adını seçərkən hesablama “0” və “-” düymələrinin yaxınlıqda olması və tərtibatçının “aws-login-tool” əvəzinə “aws-login0tool” yazması ehtimalı əsasında aparılıb.
Problemli paketlər PyPI paketlərinin bir hissəsinin (depoda olan 200 min paketdən təxminən 330 mini) Bandersnatch yardım proqramı ilə yükləndiyi sadə təcrübə zamanı müəyyən edilib, bundan sonra grep yardım proqramı paketləri müəyyən edib təhlil edib. setup.py faylında qeyd olunur "import urllib.request" çağırışı, adətən xarici hostlara sorğu göndərmək üçün istifadə olunur.
Mənbə: opennet.ru