У каталогу PyPI (Python Package Index) выяўлены тры бібліятэкі, якія змяшчаюць шкоднасны код. Да выяўлення праблем і выдаленні з каталога ў суме пакеты паспелі загрузіць амаль 15 тысяч разоў.
Пакеты dpp-client (10194 загрузкі) і dpp-client1234 (1536 загрузак) распаўсюджваліся з лютага і ўключалі код для адпраўкі змесціва зменных асяроддзі, якія, напрыклад, маглі ўключаць ключы доступу, токены або паролі да сістэм бесперапыннай інтэграцыі ці хмарным асяроддзем, такім як AWS. Пакеты таксама адпраўлялі на знешні хост спіс са змесцівам каталогаў "/home", "/mnt/mesos/" і "mnt/mesos/sandbox".
Пакет aws-login0tool (3042 загрузкі) быў размешчаны ў рэпазітары PyPI 1 снежня і ўключаў код для загрузкі і запуску траянскага прыкладання для захопу кантролю над хастамі, якія працуюць пад кіраваннем Windows. Пры выбары імя пакета разлік быў зроблены на тое, што клавішы "0" і "-" знаходзяцца побач і ёсць верагоднасць, што распрацоўшчык набярэ "aws-login0tool" замест "aws-login-tool".
Праблемныя пакеты былі выяўлены падчас простага эксперыменту, у рамках якога пры дапамозе ўтыліты Bandersnatch была загружана частка пакетаў PyPI (каля 200 тысяч з 330 тысяч пакетаў у рэпазітары), пасля чаго ўтылітай grep былі выдзелены і прааналізаваны пакеты, у файле setup.py якіх згадваецца выклік «import urllib.request», які звычайна ўжываецца для адпраўкі запытаў да знешніх хастаў.
Крыніца: opennet.ru