Aithníodh trí leabharlann ina raibh cód mailíseach san eolaire PyPI (Python Package Index). Sular aithníodh fadhbanna agus sular baineadh den chatalóg, íoslódáladh na pacáistí beagnach 15 míle uair.
Dáileadh na pacáistí dpp-client (10194 íoslódálacha) agus dpp-client1234 (1536 íoslódálacha) ó mhí Feabhra agus chuimsigh siad cód chun inneachar na n-athróg timpeallachta a sheoladh, a bhféadfadh, mar shampla, eochracha rochtana, comharthaí nó pasfhocail a áireamh chuig córais um chomhtháthú leanúnach. nó timpeallachtaí scamall mar AWS. Sheol na pacáistí liosta freisin ina raibh a bhfuil sna heolairí “/home”, “/mnt/mesos/” agus “mnt/mesos/ sandbox” chuig an ósta seachtrach.
Cuireadh an pacáiste aws-login0tool (íoslódálacha 3042) sa phost chuig stór PyPI an 1 Nollaig agus chuimsigh sé cód chun feidhmchlár Trojan a íoslódáil agus a rith chun smacht a ghlacadh ar óstaigh ag rith Windows. Nuair a bhí ainm an phacáiste á roghnú, rinneadh an ríomh ar an bhfíric go bhfuil na heochracha “0” agus “-” in aice láimhe agus d’fhéadfadh go mbeadh an forbróir clóscríobh “aws-login0tool” in ionad “aws-login-tool”.
Aithníodh na pacáistí fadhbacha le linn turgnaimh shimplí, inar íoslódáladh cuid de na pacáistí PyPI (thart ar 200 míle as 330 míle pacáiste sa stór) ag baint úsáide as fóntais Bandersnatch, agus ina dhiaidh sin shainaithin agus rinne an fóntais grep na pacáistí a bhí ann. luaite sa chomhad setup.py An glao "allmhairiú urllib.request", a úsáidtear de ghnáth chun iarratais a sheoladh chuig óstaigh seachtracha.
Foinse: oscailtenet.ru