Python パッケージ ディレクトリ PyPI (Python Package Index) 内 悪意のあるパッケージ」"そして"「これは、ある作成者 olgired2017 によってアップロードされ、人気のあるパッケージに見せかけられました。」"そして"」(名前に「l」(L)の代わりに「I」(i)という記号が使用されていることで区別されます)。 指定されたパッケージをインストールした後、システム内で見つかった暗号化キーと機密ユーザー データが攻撃者のサーバーに送信されました。 問題のあるパッケージは PyPI ディレクトリから削除されました。
悪意のあるコード自体は「jeIlyfish」パッケージに存在し、「python3-dateutil」パッケージはそれを依存関係として使用していました。
名前は、検索時にタイプミスをした不注意なユーザーに基づいて選択されました ()。 悪意のあるパッケージ「jeIlyfish」は、約 11 年前の 2018 年 3 月 29 日にダウンロードされ、検出されずに残っていました。 パッケージ「python2019-dateutil」は XNUMX 年 XNUMX 月 XNUMX 日にアップロードされ、数日後に開発者の XNUMX 人の間で疑惑を引き起こしました。 悪意のあるパッケージのインストール数に関する情報は提供されません。
jellyfish パッケージには、外部の GitLab ベースのリポジトリから「ハッシュ」のリストをダウンロードするコードが含まれていました。 これらの「ハッシュ」を操作するためのロジックを分析したところ、base64 関数を使用してエンコードされ、デコード後に起動されたスクリプトが含まれていることがわかりました。 スクリプトは、システム内の SSH キーと GPG キー、ホーム ディレクトリからのいくつかの種類のファイル、および PyCharm プロジェクトの認証情報を検出し、それらを DigitalOcean クラウド インフラストラクチャ上で実行されている外部サーバーに送信しました。
出所: オープンネット.ru