Telung perpustakaan sing ngemot kode jahat diidentifikasi ing direktori PyPI (Python Package Index). Sadurunge masalah diidentifikasi lan dibusak saka katalog, paket wis diundhuh meh 15 ewu kaping.
Paket dpp-client (10194 download) lan dpp-client1234 (1536 downloads) wis disebar wiwit Februari lan kalebu kode kanggo ngirim isi variabel lingkungan, sing, contone, bisa kalebu tombol akses, token utawa sandhi menyang sistem integrasi terus. utawa lingkungan maya kayata AWS. Paket kasebut uga ngirim dhaptar sing ngemot isi direktori "/home", "/mnt/mesos/" lan "mnt/mesos/sandbox" menyang host eksternal.
Paket aws-login0tool (3042 download) dikirim menyang repositori PyPI tanggal 1 Desember lan kalebu kode kanggo ngundhuh lan mbukak aplikasi Trojan kanggo ngontrol host sing nganggo Windows. Nalika milih jeneng paket, pitungan digawe amarga tombol "0" lan "-" cedhak lan ana kemungkinan pangembang bakal ngetik "aws-login0tool" tinimbang "aws-login-tool".
Paket masalah diidentifikasi sajrone eksperimen sing prasaja, ing ngendi bagean saka paket PyPI (kira-kira 200 ewu saka 330 ewu paket ing repositori) diundhuh nggunakake utilitas Bandersnatch, sawise utilitas grep diidentifikasi lan nganalisa paket kasebut. kasebut ing file setup.py Telpon "ngimpor urllib.request", biasane digunakake kanggo ngirim panjalukan kanggo sarwa dumadi external.
Source: opennet.ru