Három rosszindulatú kódot tartalmazó könyvtárat azonosítottunk a PyPI (Python Package Index) könyvtárban. A problémák azonosítása és a katalógusból való eltávolítása előtt a csomagokat közel 15 ezer alkalommal töltötték le.
A dpp-client (10194 1234 letöltés) és a dpp-client1536 (XNUMX XNUMX letöltés) csomagokat február óta terjesztették, és tartalmaztak kódot a környezeti változók tartalmának elküldésére, amelyek például tartalmazhatnak hozzáférési kulcsokat, tokeneket vagy jelszavakat a folyamatos integrációs rendszerek számára. vagy felhőkörnyezetek, például AWS. A csomagok egy listát is küldtek a külső gazdagépnek, amely a „/home”, „/mnt/mesos/” és „mnt/mesos/sandbox” könyvtárak tartalmát tartalmazza.
Az aws-login0tool csomagot (3042 letöltés) december 1-jén tették közzé a PyPI tárhelyen, és tartalmazott egy trójai alkalmazás letöltéséhez és futtatásához szükséges kódot, amellyel átveheti az irányítást a Windows-t futtató gazdagépek felett. A csomagnév kiválasztásakor arra számítottunk, hogy a „0” és a „-” billentyűk a közelben vannak, és előfordulhat, hogy a fejlesztő az „aws-login-tool” helyett „aws-login0tool”-t ír be.
A problémás csomagokat egy egyszerű kísérlet során azonosítottuk, melynek során a PyPI-csomagok egy részét (az adattárban lévő 200 ezer csomagból kb. 330 ezret) a Bandersnatch segédprogrammal töltötték le, majd a grep segédprogram azonosította és elemezte a bekerült csomagokat. A setup.py fájl említi Az "import urllib.request" hívás, amely általában kérések küldésére szolgál külső gazdagépeknek.
Forrás: opennet.ru