Im PyPI-Verzeichnis (Python Package Index) wurden drei Bibliotheken mit Schadcode identifiziert. Bevor Probleme identifiziert und aus dem Katalog entfernt wurden, wurden die Pakete fast 15 Mal heruntergeladen.
Die Pakete dpp-client (10194 Downloads) und dpp-client1234 (1536 Downloads) wurden seit Februar verteilt und enthielten Code zum Senden des Inhalts von Umgebungsvariablen, zu denen beispielsweise Zugriffsschlüssel, Token oder Passwörter an kontinuierliche Integrationssysteme gehören könnten oder Cloud-Umgebungen wie AWS. Die Pakete sendeten außerdem eine Liste mit den Inhalten der Verzeichnisse „/home“, „/mnt/mesos/“ und „mnt/mesos/sandbox“ an den externen Host.
Das aws-login0tool-Paket (3042 Downloads) wurde am 1. Dezember im PyPI-Repository veröffentlicht und enthielt Code zum Herunterladen und Ausführen einer Trojaner-Anwendung, um die Kontrolle über Hosts zu übernehmen, auf denen Windows ausgeführt wird. Bei der Wahl des Paketnamens wurde darauf geachtet, dass die Tasten „0“ und „-“ in der Nähe liegen und die Möglichkeit besteht, dass der Entwickler „aws-login0tool“ anstelle von „aws-login-tool“ eingibt.
Die problematischen Pakete wurden während eines einfachen Experiments identifiziert, bei dem ein Teil der PyPI-Pakete (etwa 200 von 330 Paketen im Repository) mit dem Dienstprogramm Bandersnatch heruntergeladen wurde, woraufhin das Dienstprogramm grep die betroffenen Pakete identifizierte und analysierte in der Datei setup.py erwähnt Der Aufruf „import urllib.request“, der normalerweise zum Senden von Anforderungen an externe Hosts verwendet wird.
Source: opennet.ru