Τρεις βιβλιοθήκες που περιέχουν κακόβουλο κώδικα εντοπίστηκαν στον κατάλογο PyPI (Python Package Index). Προτού εντοπιστούν προβλήματα και αφαιρεθούν από τον κατάλογο, τα πακέτα είχαν ληφθεί σχεδόν 15 χιλιάδες φορές.
Τα πακέτα dpp-client (10194 λήψεις) και dpp-client1234 (1536 λήψεις) είχαν διανεμηθεί από τον Φεβρουάριο και περιλάμβαναν κώδικα για την αποστολή του περιεχομένου των μεταβλητών περιβάλλοντος, οι οποίοι, για παράδειγμα, θα μπορούσαν να περιλαμβάνουν κλειδιά πρόσβασης, διακριτικά ή κωδικούς πρόσβασης σε συστήματα συνεχούς ενοποίησης ή περιβάλλοντα cloud όπως το AWS. Τα πακέτα έστειλαν επίσης μια λίστα που περιέχει τα περιεχόμενα των καταλόγων "/home", "/mnt/mesos/" και "mnt/mesos/sandbox" στον εξωτερικό κεντρικό υπολογιστή.
Το πακέτο aws-login0tool (3042 λήψεις) δημοσιεύτηκε στο αποθετήριο PyPI την 1η Δεκεμβρίου και περιλάμβανε κώδικα για τη λήψη και εκτέλεση μιας εφαρμογής Trojan για τον έλεγχο των κεντρικών υπολογιστών που εκτελούν Windows. Κατά την επιλογή του ονόματος πακέτου, ο υπολογισμός έγινε στο γεγονός ότι τα πλήκτρα "0" και "-" βρίσκονται κοντά και υπάρχει πιθανότητα ο προγραμματιστής να πληκτρολογήσει "aws-login0tool" αντί για "aws-login-tool".
Τα προβληματικά πακέτα εντοπίστηκαν κατά τη διάρκεια ενός απλού πειράματος, στο οποίο ένα μέρος των πακέτων PyPI (περίπου 200 χιλιάδες από τα 330 χιλιάδες πακέτα στο αποθετήριο) λήφθηκαν χρησιμοποιώντας το βοηθητικό πρόγραμμα Bandersnatch, μετά το οποίο το βοηθητικό πρόγραμμα grep εντόπισε και ανέλυσε τα πακέτα που ήταν αναφέρεται στο αρχείο setup.py Η κλήση "εισαγωγή urllib.request", που συνήθως χρησιμοποιείται για την αποστολή αιτημάτων σε εξωτερικούς κεντρικούς υπολογιστές.
Πηγή: opennet.ru