Þrjú bókasöfn sem innihéldu skaðlegan kóða fundust í PyPI (Python Package Index) möppunni. Áður en vandamálin voru greind og fjarlægð úr möppunni höfðu pakkarnir verið sóttir samtals næstum 15 sinnum.
Pakkarnir dpp-client (10194 niðurhal) og dpp-client1234 (1536 niðurhal) voru dreift frá febrúar og innihéldu kóða til að senda innihald umhverfisbreyta, sem gætu til dæmis innihaldið aðgangslykla, tákn eða lykilorð fyrir samfelld samþættingarkerfi eða skýjaumhverfi eins og AWS. Pakkarnir sendu einnig lista yfir innihald möppanna "/home", "/mnt/mesos/" og "mnt/mesos/sandbox" til utanaðkomandi hýsingaraðila.
Pakkinn aws-login0tool (3042 niðurhal) var settur í PyPI geymsluna 1. desember og innihélt kóða til að hlaða niður og keyra Trójuhest til að ná stjórn á vélum sem keyra. WindowsÞegar pakkaheitið var valið var hugmyndin sú að „0“ og „-“ takkarnir væru nálægt hvor öðrum, þannig að það er líklegt að forritarinn muni skrifa „aws-login0tool“ í stað „aws-login-tool“.
Vandamálin voru greind með einfaldri tilraun þar sem hluti af PyPI-pökkum (um 200 af 330 pökkum í geymslunni) var sóttur með Bandersnatch, og síðan var grep-tólið notað til að einangra og greina þá pakka þar sem setup.py skráin minntist á „import urllib.request“ kallið, sem er venjulega notað til að senda beiðnir til utanaðkomandi vélar.
Heimild: opennet.ru
