悪意のあるコードを含む 15 つのライブラリが PyPI (Python Package Index) ディレクトリで特定されました。 問題が特定されてカタログから削除されるまで、パッケージは約 XNUMX 回ダウンロードされていました。
dpp-client (ダウンロード数 10194) および dpp-client1234 (ダウンロード数 1536) パッケージは XNUMX 月から配布されており、これらには、継続的統合システムへのアクセス キー、トークン、パスワードなどの環境変数の内容を送信するためのコードが含まれていました。 AWSなどのクラウド環境でも構いません。 また、パッケージは、「/home」、「/mnt/mesos/」、および「mnt/mesos/sandbox」ディレクトリの内容を含むリストを外部ホストに送信しました。
aws-login0tool パッケージ (ダウンロード数 3042) は 1 月 0 日に PyPI リポジトリに投稿され、Windows を実行しているホストを制御するトロイの木馬アプリケーションをダウンロードして実行するコードが含まれていました。 パッケージ名を選択するときは、「0」と「-」キーが近くにあるという事実に基づいて計算されており、開発者が「aws-login-tool」の代わりに「aws-loginXNUMXtool」と入力する可能性があります。
問題のあるパッケージは、Bandersnatch ユーティリティを使用して PyPI パッケージの一部 (リポジトリ内の 200 万パッケージのうち約 330 万パッケージ) がダウンロードされた簡単な実験中に特定されました。その後、grep ユーティリティが問題のあるパッケージを特定して分析しました。 setup.py ファイルに記載されている「import urllib.request」呼び出し。通常、外部ホストにリクエストを送信するために使用されます。
出所: オープンネット.ru