Nella directory PyPI (Python Package Index) sono state identificate tre librerie contenenti codice dannoso. Prima che i problemi venissero identificati e rimossi dal catalogo, i pacchetti erano stati scaricati quasi 15mila volte.
I pacchetti dpp-client (10194 download) e dpp-client1234 (1536 download) erano stati distribuiti da febbraio e includevano codice per inviare il contenuto delle variabili di ambiente, che, ad esempio, potevano includere chiavi di accesso, token o password a sistemi di integrazione continua o ambienti cloud come AWS. I pacchetti inviavano anche un elenco contenente il contenuto delle directory "/home", "/mnt/mesos/" e "mnt/mesos/sandbox" all'host esterno.
Il pacchetto aws-login0tool (3042 download) Γ¨ stato pubblicato nel repository PyPI il 1 dicembre e includeva il codice per scaricare ed eseguire un'applicazione Trojan per assumere il controllo degli host che eseguono Windows. Quando si sceglie il nome del pacchetto, il calcolo Γ¨ stato effettuato sul fatto che i tasti β0β e β-β si trovano vicini ed esiste la possibilitΓ che lo sviluppatore digiti βaws-login0toolβ invece di βaws-login-toolβ.
I pacchetti problematici sono stati identificati durante un semplice esperimento, in cui una parte dei pacchetti PyPI (circa 200mila sui 330mila pacchetti presenti nel repository) sono stati scaricati utilizzando l'utility Bandersnatch, dopodichΓ© l'utility grep ha identificato e analizzato i pacchetti che erano menzionato nel file setup.py La chiamata "import urllib.request", tipicamente utilizzata per inviare richieste a host esterni.
Fonte: opennet.ru