Tiga perpustakaan yang berisi kode berbahaya diidentifikasi di direktori PyPI (Python Package Index). Sebelum masalah diidentifikasi dan dihapus dari katalog, paket tersebut telah diunduh hampir 15 ribu kali.
Paket dpp-client (10194 unduhan) dan dpp-client1234 (1536 unduhan) telah didistribusikan sejak bulan Februari dan menyertakan kode untuk mengirimkan konten variabel lingkungan, yang, misalnya, dapat menyertakan kunci akses, token, atau kata sandi ke sistem integrasi berkelanjutan atau lingkungan cloud seperti AWS. Paket-paket tersebut juga mengirimkan daftar yang berisi isi direktori "/home", "/mnt/mesos/" dan "mnt/mesos/sandbox" ke host eksternal.
Paket aws-login0tool (3042 unduhan) telah diposting ke repositori PyPI pada tanggal 1 Desember dan menyertakan kode untuk mengunduh dan menjalankan aplikasi Trojan untuk mengambil kendali host yang menjalankan Windows. Saat memilih nama paket, perhitungan dilakukan berdasarkan fakta bahwa tombol β0β dan β-β ada di dekatnya dan ada kemungkinan pengembang akan mengetik βaws-login0toolβ alih-alih βaws-login-toolβ.
Paket yang bermasalah diidentifikasi selama percobaan sederhana, di mana sebagian dari paket PyPI (sekitar 200 ribu dari 330 ribu paket di repositori) diunduh menggunakan utilitas Bandersnatch, setelah itu utilitas grep mengidentifikasi dan menganalisis paket yang ada. disebutkan dalam file setup.py Panggilan "import urllib.request", biasanya digunakan untuk mengirim permintaan ke host eksternal.
Sumber: opennet.ru