سه کتابخانه حاوی کد مخرب در دایرکتوری PyPI (شاخص بسته Python) شناسایی شدند. قبل از شناسایی و حذف مشکلات از کاتالوگ، بسته ها تقریباً 15 هزار بار دانلود شده بودند.
بستههای dpp-client (10194 بارگیری) و dpp-client1234 (1536 بارگیری) از فوریه توزیع شدهاند و شامل کدی برای ارسال محتویات متغیرهای محیطی میباشند که برای مثال میتواند شامل کلیدهای دسترسی، نشانهها یا رمزهای عبور به سیستمهای یکپارچهسازی مداوم باشد. یا محیط های ابری مانند AWS. بسته ها همچنین فهرستی حاوی محتویات دایرکتوری های "/home"، "/mnt/mesos/" و "mnt/mesos/sandbox" را برای میزبان خارجی ارسال کردند.
بسته aws-login0tool (3042 بارگیری) در تاریخ 1 دسامبر در مخزن PyPI پست شد و شامل کدی برای دانلود و اجرای یک برنامه تروجان برای کنترل هاست های دارای ویندوز بود. هنگام انتخاب نام بسته، محاسبه با این واقعیت انجام شد که کلیدهای "0" و "-" در نزدیکی هستند و این امکان وجود دارد که توسعه دهنده به جای "aws-login-tool" "aws-login0tool" را تایپ کند.
بسته های مشکل ساز طی یک آزمایش ساده شناسایی شدند، که در آن بخشی از بسته های PyPI (حدود 200 هزار بسته از 330 هزار بسته موجود در مخزن) با استفاده از ابزار Bandersnatch دانلود شدند، پس از آن ابزار grep بسته های موجود را شناسایی و تجزیه و تحلیل کرد. در فایل setup.py ذکر شده است. فراخوانی "وارد کردن urllib.request" که معمولاً برای ارسال درخواست ها به میزبان های خارجی استفاده می شود.
منبع: opennet.ru