Ma ka papa kuhikuhi puolo Python PyPI (Python Package Index) nā pūʻolo hewa ""A"", i hoʻouka ʻia e kekahi mea kākau olgired2017 a hoʻokaʻawale ʻia he mau pūʻolo kaulana ""A"" (ʻokoʻa ma ka hoʻohana ʻana i ka hōʻailona "I" (i) ma kahi o "l" (L) ma ka inoa). Ma hope o ka hoʻokomo ʻana i nā pūʻolo kikoʻī, ua hoʻouna ʻia nā kī hoʻopunipuni a me nā ʻikepili mea hoʻohana huna i loaʻa i ka ʻōnaehana i ke kikowaena o ka mea hoʻouka. Ua wehe ʻia nā pōʻai pilikia mai ka papa kuhikuhi PyPI.
Aia ka code malicious i loko o ka pūʻolo "jeIlyfish", a ua hoʻohana ʻia ka ʻāpana "python3-dateutil" ma ke ʻano he hilinaʻi.
Ua koho ʻia nā inoa ma muli o nā mea hoʻohana makaʻole i hana hewa i ka wā e ʻimi ai (). Ua hoʻoiho ʻia ka pōʻai ʻino "jeIlyfish" ma kahi o hoʻokahi makahiki i hala, ma Dekemaba 11, 2018, a ʻaʻole i ʻike ʻia. Ua hoʻouka ʻia ka pūʻolo "python3-dateutil" ma Nowemapa 29, 2019 a i kekahi mau lā ma hope mai ua hoʻāla ʻia ka kānalua i waena o kekahi o nā mea hoʻomohala. ʻAʻole hāʻawi ʻia ka ʻike e pili ana i ka nui o nā hoʻokomo ʻana o nā pūʻolo hewa.
Aia ka pūʻolo jellyfish i ka code i hoʻoiho i kahi papa inoa o nā "hashes" mai kahi waihona waihona GitLab waho. Hōʻike ka loiloi o ka loiloi no ka hana ʻana me kēia mau "hashes" i loko o lākou kahi palapala i hoʻopaʻa ʻia me ka hoʻohana ʻana i ka hana base64 a hoʻokuʻu ʻia ma hope o ka decoding. Ua loaʻa i ka palapala nā kī SSH a me GPG i loko o ka ʻōnaehana, a me kekahi mau ʻano faila mai ka papa kuhikuhi home a me nā hōʻoia no nā papahana PyCharm, a laila hoʻouna iā lākou i kahi kikowaena waho e holo ana ma ka DigitalOcean cloud infrastructure.
Source: opennet.ru