V adresáři PyPI (Python Package Index) byly identifikovány tři knihovny obsahující škodlivý kód. Než byly problémy identifikovány a odstraněny z katalogu, byly balíčky staženy téměř 15 tisíckrát.
Balíčky dpp-client (10194 1234 stažení) a dpp-client1536 (XNUMX XNUMX stažení) byly distribuovány od února a obsahovaly kód pro odesílání obsahu proměnných prostředí, které by například mohly zahrnovat přístupové klíče, tokeny nebo hesla do systémů kontinuální integrace. nebo cloudová prostředí, jako je AWS. Balíčky také odeslaly externímu hostiteli seznam obsahující obsah adresářů "/home", "/mnt/mesos/" a "mnt/mesos/sandbox".
Balíček aws-login0tool (3042 1 stažení) byl odeslán do úložiště PyPI 0. prosince a obsahoval kód pro stažení a spuštění aplikace pro trojské koně, která převezme kontrolu nad hostiteli se systémem Windows. Při výběru názvu balíčku byl výpočet proveden na základě skutečnosti, že klíče „0“ a „-“ jsou poblíž a existuje možnost, že vývojář zadá „aws-loginXNUMXtool“ místo „aws-login-tool“.
Problematické balíčky byly identifikovány během jednoduchého experimentu, ve kterém byla část balíčků PyPI (asi 200 tisíc z 330 tisíc balíčků v úložišti) stažena pomocí nástroje Bandersnatch, načež nástroj grep identifikoval a analyzoval balíčky, které byly zmíněné v souboru setup.py Volání „import urllib.request“, které se obvykle používá k odesílání požadavků externím hostitelům.
Zdroj: opennet.ru