Tre biblioteker, der indeholdt skadelig kode, blev identificeret i PyPI-biblioteket (Python Package Index). Før problemer blev identificeret og fjernet fra kataloget, var pakkerne blevet downloadet næsten 15 tusinde gange.
Pakkerne dpp-client (10194 downloads) og dpp-client1234 (1536 downloads) var blevet distribueret siden februar og indeholdt kode til at sende indholdet af miljøvariabler, som for eksempel kunne omfatte adgangsnøgler, tokens eller adgangskoder til kontinuerlige integrationssystemer eller cloud-miljøer såsom AWS. Pakkerne sendte også en liste med indholdet af "/home", "/mnt/mesos/" og "mnt/mesos/sandbox" mapperne til den eksterne vært.
aws-login0tool-pakken (3042 downloads) blev sendt til PyPI-lageret den 1. december og inkluderede kode til at downloade og køre en trojansk applikation til at tage kontrol over værter, der kører Windows. Ved valg af pakkenavn blev beregningen foretaget på det faktum, at tasterne "0" og "-" er i nærheden, og der er mulighed for, at udvikleren vil skrive "aws-login0tool" i stedet for "aws-login-tool".
De problematiske pakker blev identificeret under et simpelt eksperiment, hvor en del af PyPI-pakkerne (ca. 200 ud af 330 pakker i depotet) blev downloadet ved hjælp af Bandersnatch-værktøjet, hvorefter grep-værktøjet identificerede og analyserede de pakker, der var nævnt i setup.py filen "import urllib.request" kaldet, bruges typisk til at sende anmodninger til eksterne værter.
Kilde: opennet.ru