Python փաթեթի գրացուցակում PyPI (Python փաթեթի ինդեքս) վնասակար փաթեթներ»"Եւ"", որոնք վերբեռնվել են մեկ հեղինակի կողմից olgired2017 և քողարկվել են որպես հանրաճանաչ փաթեթներ""Եւ"« (տարբերվում է անվանման մեջ «l» (L) փոխարեն «I» (i) նշանի օգտագործմամբ): Նշված փաթեթները տեղադրելուց հետո գաղտնագրման բանալիները և համակարգում հայտնաբերված օգտատիրոջ գաղտնի տվյալները ուղարկվել են հարձակվողի սերվեր: Խնդրահարույց փաթեթներն այժմ հեռացվել են PyPI գրացուցակից:
Վնասակար կոդը ինքնին առկա էր «jeIlyfish» փաթեթում, իսկ «python3-dateutil» փաթեթն այն օգտագործում էր որպես կախվածություն։
Անուններն ընտրվել են անուշադիր օգտատերերի հիման վրա, ովքեր որոնելիս տառասխալներ են թույլ տվել () «jeIlyfish» վնասակար փաթեթը ներբեռնվել է մոտ մեկ տարի առաջ՝ 11 թվականի դեկտեմբերի 2018-ին և մնացել անհայտ։ «python3-dateutil» փաթեթը վերբեռնվել է 29 թվականի նոյեմբերի 2019-ին և մի քանի օր անց կասկած է առաջացրել ծրագրավորողներից մեկի մոտ։ Վնասակար փաթեթների տեղադրումների քանակի մասին տեղեկություն չի տրամադրվում։
Մետրուզայի փաթեթը ներառում էր ծածկագիր, որը ներբեռնում էր «հեշների» ցուցակը GitLab-ի վրա հիմնված արտաքին պահոցից: Այս «հեշերի» հետ աշխատելու տրամաբանության վերլուծությունը ցույց է տվել, որ դրանք պարունակում են սկրիպտ, որը կոդավորված է base64 ֆունկցիայի միջոցով և գործարկվել է վերծանումից հետո: Սցենարը գտել է SSH և GPG ստեղներ համակարգում, ինչպես նաև որոշ տեսակի ֆայլեր տնային գրացուցակից և PyCharm նախագծերի հավատարմագրերը, այնուհետև դրանք ուղարկել արտաքին սերվեր, որն աշխատում է DigitalOcean ամպային ենթակառուցվածքի վրա:
Source: opennet.ru