Þrjú bókasöfn sem innihalda skaðlegan kóða voru auðkennd í PyPI (Python Package Index) skránni. Áður en vandamál voru greind og fjarlægð úr vörulistanum hafði pakkunum verið hlaðið niður tæplega 15 þúsund sinnum.
Dpp-client (10194 niðurhal) og dpp-client1234 (1536 niðurhal) pakkarnir höfðu verið dreift síðan í febrúar og innihélt kóða til að senda innihald umhverfisbreyta, sem til dæmis gæti innihaldið aðgangslykla, tákn eða lykilorð að samfelldum samþættingarkerfum eða skýjaumhverfi eins og AWS. Pakkarnir sendu einnig lista sem inniheldur innihald "/home", "/mnt/mesos/" og "mnt/mesos/sandbox" möppurnar til ytri gestgjafans.
aws-login0tool pakkinn (3042 niðurhal) var settur á PyPI geymsluna 1. desember og innihélt kóða til að hlaða niður og keyra Trójuforrit til að taka stjórn á hýslum sem keyra Windows. Þegar pakkanafnið var valið var útreikningurinn gerður á þeirri staðreynd að „0“ og „-“ takkarnir eru nálægt og möguleiki er á að verktaki skrifi „aws-login0tool“ í stað „aws-login-tool“.
Vandræðapakkarnir voru auðkenndir í einfaldri tilraun, þar sem hluti PyPI pakkana (um 200 þúsund af 330 þúsund pakka í geymslunni) var hlaðið niður með Bandersnatch tólinu, eftir það greindi grep tólið og greindi pakkana sem voru nefnt í setup.py skránni „import urllib.request“ kallið, venjulega notað til að senda beiðnir til ytri gestgjafa.
Heimild: opennet.ru