PyPI (Python Package Index) kataloogis tuvastati kolm pahatahtlikku koodi sisaldavat teeki. Enne probleemide tuvastamist ja kataloogist eemaldamist oli pakette alla laaditud ligi 15 tuhat korda.
Paketid dpp-client (10194 1234 allalaadimist) ja dpp-client1536 (XNUMX XNUMX allalaadimist) olid levitatud alates veebruarist ja sisaldasid koodi keskkonnamuutujate sisu saatmiseks, mis võisid sisaldada näiteks juurdepääsuvõtmeid, žetoone või paroole pidevatele integratsioonisüsteemidele või pilvekeskkondi, nagu AWS. Samuti saatsid paketid välisele hostile loendi, mis sisaldas kataloogide "/home", "/mnt/mesos/" ja "mnt/mesos/sandbox" sisu.
Pakett aws-login0tool (3042 allalaadimist) postitati PyPI hoidlasse 1. detsembril ja sisaldas koodi Trooja rakenduse allalaadimiseks ja käitamiseks, et võtta kontroll Windowsi töötavate hostide üle. Paketi nime valikul lähtuti sellest, et klahvid “0” ja “-” on läheduses ning on võimalus, et arendaja sisestab “aws-login-tool” asemel “aws-login0tool”.
Probleemsed paketid tuvastati lihtsa katse käigus, mille käigus laaditi Bandersnatch utiliidi abil alla osa PyPI pakettidest (umbes 200 tuhat hoidlas olevast 330 tuhandest paketist), misjärel grep utiliit tuvastas ja analüüsis paketid, mis olid mainitud failis setup.py Kõne "import urllib.request", mida kasutatakse tavaliselt päringute saatmiseks välistele hostidele.
Allikas: opennet.ru