Trois bibliothèques contenant du code malveillant ont été identifiées dans le répertoire PyPI (Python Package Index). Avant que les problèmes ne soient identifiés et supprimés du catalogue, les packages avaient été téléchargés près de 15 XNUMX fois.
Les packages dpp-client (10194 1234 téléchargements) et dpp-client1536 (XNUMX XNUMX téléchargements) étaient distribués depuis février et incluaient du code pour envoyer le contenu de variables d'environnement, qui pouvaient, par exemple, inclure des clés d'accès, des jetons ou des mots de passe à des systèmes d'intégration continue. ou des environnements cloud tels qu'AWS. Les packages envoyaient également une liste contenant le contenu des répertoires "/home", "/mnt/mesos/" et "mnt/mesos/sandbox" à l'hôte externe.
Le package aws-login0tool (3042 1 téléchargements) a été publié dans le référentiel PyPI le 0er décembre et comprenait du code permettant de télécharger et d'exécuter une application cheval de Troie pour prendre le contrôle des hôtes exécutant Windows. Lors du choix du nom du package, le calcul a été fait sur le fait que les touches « 0 » et « - » sont à proximité et il est possible que le développeur tape « aws-loginXNUMXtool » au lieu de « aws-login-tool ».
Les packages problématiques ont été identifiés au cours d'une expérience simple, dans laquelle une partie des packages PyPI (environ 200 330 sur XNUMX XNUMX packages dans le référentiel) ont été téléchargés à l'aide de l'utilitaire Bandersnatch, après quoi l'utilitaire grep a identifié et analysé les packages problématiques. mentionné dans le fichier setup.py L'appel "import urllib.request", généralement utilisé pour envoyer des requêtes à des hôtes externes.
Source: opennet.ru