PyPI (Python Package Index) -hakemistosta tunnistettiin kolme haitallista koodia sisältävää kirjastoa. Ennen kuin ongelmat tunnistettiin ja poistettiin luettelosta, paketit oli ladattu lähes 15 tuhatta kertaa.
Paketteja dpp-client (10194 1234 latausta) ja dpp-client1536 (XNUMX XNUMX latausta) oli jaettu helmikuusta lähtien ja ne sisälsivät koodin ympäristömuuttujien sisällön lähettämiseen, mikä saattoi sisältää esimerkiksi pääsyavaimia, tunnuksia tai salasanoja jatkuvaan integrointijärjestelmiin. tai pilviympäristöissä, kuten AWS. Paketit lähettivät ulkoiselle isännälle myös listan, joka sisälsi hakemistojen "/home", "/mnt/mesos/" ja "mnt/mesos/sandbox" sisällön.
Paketti aws-login0tool (3042 1 latausta) lähetettiin PyPI-tietovarastoon 0. joulukuuta, ja se sisälsi koodin, jolla voit ladata ja suorittaa troijalaisen sovelluksen, jolla voit hallita Windowsia käyttäviä isäntiä. Paketin nimeä valittaessa laskettiin, että "0" ja "-"-näppäimet ovat lähellä ja on mahdollista, että kehittäjä kirjoittaa "aws-loginXNUMXtool" "aws-login-tool" sijaan.
Ongelmalliset paketit tunnistettiin yksinkertaisessa kokeessa, jossa osa PyPI-paketeista (noin 200 tuhatta arkiston 330 tuhannesta paketista) ladattiin Bandersnatch-apuohjelmalla, minkä jälkeen grep-apuohjelma tunnisti ja analysoi paketit, jotka mainitaan setup.py-tiedostossa "Import urllib.request" -kutsu, jota käytetään tyypillisesti pyyntöjen lähettämiseen ulkoisille koneille.
Lähde: opennet.ru