Dräi Bibliothéike mat béiswëllegen Code goufen am PyPI (Python Package Index) Verzeechnes identifizéiert. Ier d'Problemer identifizéiert an aus dem Katalog geläscht goufen, goufen d'Packagen bal 15 dausend Mol erofgelueden.
D'dpp-Client (10194 Downloads) an dpp-client1234 (1536 Downloads) Packagen goufen zënter Februar verdeelt an enthalen Code fir den Inhalt vun Ëmfeldvariablen ze schécken, déi zum Beispill Zougangsschlësselen, Tokens oder Passwierder fir kontinuéierlech Integratiounssystemer enthalen kënnen. oder Wolleken Ëmfeld wéi AWS. D'Packagen hunn och eng Lëscht geschéckt mat den Inhalter vun den "/home", "/mnt/mesos/" an "mnt/mesos/sandbox" Verzeichnisser un den externen Host.
Пакет aws-login0tool (3042 загрузки) был размещён в репозитории PyPI 1 декабря и включал код для загрузки и запуска троянского приложения для захвата контроля над хостами, работающими под управлением Windows. При выборе имени пакета расчёт был сделан на то, что клавиши «0» и «-» находятся рядом и есть вероятность, что разработчик наберёт «aws-login0tool» вместо «aws-login-tool».
Déi problematesch Packagen goufen während engem einfachen Experiment identifizéiert, an deem en Deel vun de PyPI Packagen (ongeféier 200 Tausend vun 330 Tausend Packagen am Repository) mat der Bandersnatch Utility erofgeluede goufen, duerno huet d'grep Utility d'Packagen identifizéiert an analyséiert. an der setup.py Datei ernimmt Den "import urllib.request" Uruff, typesch benotzt fir Ufroen un extern Hosten ze schécken.
Source: opennet.ru
