Anns an eòlaire pacaid Python PyPI (Clàr Pasgan Python) pacaidean droch-rùnach""Agus"", a chaidh a luchdachadh suas le aon ùghdar olgired2017 agus a chaidh am falach mar phasgan mòr-chòrdte""Agus"" (air a chomharrachadh le cleachdadh na samhla "I" (i) an àite "l" (L) san ainm). Às deidh na pacaidean ainmichte a chuir a-steach, chaidh iuchraichean crioptachaidh agus dàta cleachdaiche dìomhair a chaidh a lorg san t-siostam a chuir gu frithealaiche an neach-ionnsaigh. Tha na pacaidean trioblaideach a-nis air an toirt às an eòlaire PyPI.
Bha an còd droch-rùnach fhèin an làthair anns a’ phacaid “jeIlyfish”, agus chleachd am pasgan “python3-dateutil” e mar eisimeileachd.
Chaidh na h-ainmean a thaghadh a rèir luchd-cleachdaidh neo-mhothachail a rinn typos nuair a bha iad a’ rannsachadh (). Chaidh am pasgan droch-rùnach “jeIlyfish” a luchdachadh sìos timcheall air bliadhna air ais, air 11 Dùbhlachd 2018, agus cha deach a lorg. Chaidh am pasgan “python3-dateutil” a luchdachadh suas air 29 Samhain, 2019 agus beagan làithean às deidh sin thog e amharas am measg aon den luchd-leasachaidh. Chan eil fiosrachadh air an àireamh de shuidheachaidhean de phasganan droch-rùnach air a thoirt seachad.
Anns a’ phacaid sleamhainn bha còd a luchdaich sìos liosta de “hashes” bho stòr taobh a-muigh GitLab. Sheall mion-sgrùdadh air an loidsig airson a bhith ag obair leis na “hashes” sin gu bheil sgriobt annta air a chòdachadh a’ cleachdadh gnìomh base64 agus air a chuir air bhog às deidh dì-chòdachadh. Lorg an sgriobt iuchraichean SSH agus GPG san t-siostam, a bharrachd air cuid de sheòrsan fhaidhlichean bhon eòlaire dachaigh agus teisteanasan airson pròiseactan PyCharm, agus an uairsin chuir iad gu frithealaiche taobh a-muigh a bha a’ ruith air bun-structar sgòthan DigitalOcean.
Source: fosgailtenet.ru