Identificáronse tres bibliotecas que conteñen código malicioso no directorio PyPI (índice de paquetes Python). Antes de que os problemas fosen identificados e eliminados do catálogo, os paquetes foran descargados case 15 mil veces.
Os paquetes dpp-client (10194 descargas) e dpp-client1234 (1536 descargas) estiveron distribuídos desde febreiro e incluían código para enviar o contido das variables de ambiente, que, por exemplo, podían incluír claves de acceso, tokens ou contrasinais a sistemas de integración continua. ou ambientes en nube como AWS. Os paquetes tamén enviaron unha lista que contén o contido dos directorios "/home", "/mnt/mesos/" e "mnt/mesos/sandbox" ao host externo.
O paquete aws-login0tool (3042 descargas) publicouse no repositorio de PyPI o 1 de decembro e incluíu código para descargar e executar unha aplicación de Troia para tomar o control dos hosts que executan Windows. Ao escoller o nome do paquete, o cálculo realizouse sobre o feito de que as teclas "0" e "-" están preto e existe a posibilidade de que o desenvolvedor escriba "aws-login0tool" en lugar de "aws-login-tool".
Os paquetes problemáticos foron identificados durante un experimento sinxelo, no que unha parte dos paquetes PyPI (uns 200 mil dos 330 mil paquetes do repositorio) foron descargados mediante a utilidade Bandersnatch, despois de que a utilidade grep identificou e analizou os paquetes que estaban mencionado no ficheiro setup.py A chamada "import urllib.request", normalmente usada para enviar solicitudes a hosts externos.
Fonte: opennet.ru