Kode gaiztoa duten hiru liburutegi identifikatu ziren PyPI (Python Package Index) direktorioa. Arazoak identifikatu eta katalogotik kendu aurretik, paketeak ia 15 mila aldiz deskargatu ziren.
dpp-client (10194 deskarga) eta dpp-client1234 (1536 deskarga) paketeak otsailetik banatuta zeuden eta ingurune-aldagaien edukia bidaltzeko kodea barne hartzen zuten, zeinak, adibidez, etengabeko integrazio-sistemetara sarbide-gakoak, tokenak edo pasahitzak izan ditzake. edo hodeiko inguruneak, hala nola AWS. Paketeek "/home", "/mnt/mesos/" eta "mnt/mesos/sandbox" direktorioen edukia duen zerrenda ere bidali zuten kanpoko ostalarira.
aws-login0tool paketea (3042 deskarga) PyPI biltegian argitaratu zen abenduaren 1ean eta Windows exekutatzen duten ostalarien kontrola hartzeko Troiako aplikazio bat deskargatzeko eta exekutatzeko kodea barne hartzen zuen. Paketearen izena aukeratzerakoan, kalkulua egin zen "0" eta "-" teklak gertu daudela eta garatzaileak "aws-login0tool" idazteko aukera dago "aws-login-tool"ren ordez.
Pakete arazotsuak esperimentu sinple batean identifikatu ziren, non PyPI paketeen zati bat (biltegian dauden 200 mila paketeetatik 330 mila inguru) Bandersnatch erabilgarritasuna erabiliz deskargatu zen, ondoren grep utilitateak zeuden paketeak identifikatu eta aztertu zituen. setup.py fitxategian aipatutako "import urllib.request" deia, normalean kanpoko ostalariei eskaerak bidaltzeko erabiltzen dena.
Iturria: opennet.ru