Tulo ka librarya nga adunay malisyosong code ang giila sa PyPI (Python Package Index) nga direktoryo. Sa wala pa mailhan ang mga problema ug gikuha gikan sa katalogo, ang mga pakete na-download hapit 15 ka libo ka beses.
Ang dpp-client (10194 downloads) ug dpp-client1234 (1536 downloads) nga mga pakete gipang-apod-apod sukad sa Pebrero ug naglakip sa code alang sa pagpadala sa mga sulod sa environment variables, nga, pananglitan, mahimong maglakip sa access keys, tokens o password ngadto sa padayon nga integration system o cloud environment sama sa AWS. Ang mga pakete nagpadala usab ug lista nga adunay sulod sa "/home", "/mnt/mesos/" ug "mnt/mesos/sandbox" nga mga direktoryo ngadto sa external host.
Ang aws-login0tool package (3042 downloads) gi-post sa PyPI repository niadtong Disyembre 1 ug gilakip ang code sa pag-download ug pagpadagan sa Trojan application aron makontrol ang mga host nga nagpadagan sa Windows. Kung gipili ang ngalan sa package, gihimo ang pagkalkula sa kamatuoran nga ang "0" ug "-" nga mga yawe anaa sa duol ug adunay posibilidad nga ang developer mag-type sa "aws-login0tool" imbes nga "aws-login-tool".
Ang mga problemado nga mga pakete giila sa panahon sa usa ka yano nga eksperimento, diin ang usa ka bahin sa mga pakete sa PyPI (mga 200 ka libo gikan sa 330 ka libo nga mga pakete sa repository) gi-download gamit ang Bandersnatch utility, human niini ang grep utility nagpaila ug nag-analisar sa mga pakete nga gihisgotan sa setup.py file Ang "import urllib.request" nga tawag, kasagaran gigamit sa pagpadala sa mga hangyo ngadto sa gawas nga mga panon.
Source: opennet.ru