Cov neeg tsim khoom ntawm Packj platform, uas txheeb xyuas kev ruaj ntseg ntawm cov tsev qiv ntawv, tau tshaj tawm cov kab lus qhib cov cuab yeej uas tso cai rau lawv txheeb xyuas cov qauv pheej hmoo hauv pob khoom uas yuav cuam tshuam nrog kev ua phem rau kev ua phem lossis muaj qhov tsis zoo siv los ua kev tawm tsam. ntawm tej yaam num uas siv tej pob khoom nyob rau hauv nqe lus nug ("supply chain"). Kev kuaj pob yog txhawb nqa hauv Python thiab JavaScript lus, tuav hauv PyPi thiab NPM cov npe (lawv kuj npaj yuav ntxiv kev txhawb nqa rau Ruby thiab RubyGems lub hlis no). Cov cuab yeej code yog sau rau hauv Python thiab muab faib raws li daim ntawv tso cai AGPLv3.
Thaum lub sij hawm kev soj ntsuam ntawm 330 txhiab pob khoom siv cov cuab yeej npaj hauv PyPi repository, 42 cov pob tsis zoo nrog cov backdoors thiab 2.4 txhiab pob pheej hmoo raug txheeb xyuas. Thaum lub sijhawm tshuaj xyuas, kev tshuaj xyuas cov lej zoo li qub tau ua los txheeb xyuas cov yam ntxwv API thiab ntsuas qhov muaj qhov tsis zoo uas paub tau sau tseg hauv OSV database. MalOSS pob yog siv los txheeb xyuas API. Lub pob code raug tshuaj xyuas rau qhov muaj cov qauv uas feem ntau siv hauv malware. Cov qauv no tau npaj raws li kev tshawb fawb ntawm 651 pob ntawv nrog kev paub tseeb txog kev ua phem.
Nws kuj txheeb xyuas cov cwj pwm thiab cov ntaub ntawv metadata uas ua rau muaj kev pheej hmoo ntau ntxiv ntawm kev siv tsis raug, xws li ua tiav cov blocks ntawm "eval" lossis "exec", tsim cov lej tshiab ntawm lub sijhawm ua haujlwm, siv cov txheej txheem kev tsis sib haum xeeb, tswj hwm ib puag ncig hloov pauv, tsis yog lub hom phiaj nkag mus rau cov ntaub ntawv, nkag mus rau hauv network cov kev pab cuam nyob rau hauv installation scripts (setup.py), siv typesquatting (xa cov npe zoo ib yam li cov npe ntawm cov tsev qiv ntawv nrov), txheeb xyuas cov haujlwm tsis tu ncua thiab tso tseg, qhia cov email tsis muaj nyob thiab cov vev xaib, tsis muaj cov chaw khaws ntaub ntawv pej xeem nrog cov lej.
Tsis tas li ntawd, peb tuaj yeem nco ntsoov qhov kev txheeb xyuas los ntawm lwm tus kws tshawb fawb txog kev nyab xeeb ntawm tsib pob khoom tsis zoo hauv PyPi chaw cia khoom, uas tau xa cov ntsiab lus ntawm ib puag ncig hloov pauv mus rau lwm tus neeg rau zaub mov nrog kev cia siab ntawm kev nyiag tokens rau AWS thiab kev sib koom ua ke txuas ntxiv: loglib-modules (tso tawm raws li modules rau lub tsev qiv ntawv loglib raug cai), pyg-modules, pygrata thiab pygrata-utils (touted li ntxiv rau lub tsev qiv ntawv pyg raug cai) thiab hkg-sol-utils.
Tau qhov twg los: opennet.ru