Tri biblioteke koje sadrže zlonamjerni kod identificirane su u direktoriju PyPI (Python Package Index). Prije nego što su problemi identificirani i uklonjeni iz kataloga, paketi su preuzeti gotovo 15 tisuća puta.
Paketi dpp-client (10194 preuzimanja) i dpp-client1234 (1536 preuzimanja) distribuirani su od veljače i uključivali su kod za slanje sadržaja varijabli okoline, koje bi, na primjer, mogle uključivati pristupne ključeve, tokene ili lozinke sustavima kontinuirane integracije ili okruženja u oblaku kao što je AWS. Paketi su također poslali popis sa sadržajem direktorija "/home", "/mnt/mesos/" i "mnt/mesos/sandbox" vanjskom hostu.
Paket aws-login0tool (3042 preuzimanja) objavljen je u PyPI repozitoriju 1. prosinca i uključivao je kod za preuzimanje i pokretanje trojanske aplikacije za preuzimanje kontrole nad hostovima koji pokreću Windows. Prilikom odabira naziva paketa računalo se na to da su tipke “0” i “-” u blizini te postoji mogućnost da programer upiše “aws-login0tool” umjesto “aws-login-tool”.
Problematični paketi identificirani su tijekom jednostavnog eksperimenta, u kojem je dio PyPI paketa (oko 200 tisuća od 330 tisuća paketa u repozitoriju) preuzet pomoću uslužnog programa Bandersnatch, nakon čega je uslužni program grep identificirao i analizirao pakete koji su spomenut u datoteci setup.py Poziv "import urllib.request", koji se obično koristi za slanje zahtjeva vanjskim računalima.
Izvor: opennet.ru