Python paketo kataloge PyPI (Python Package Index) kenksmingi paketai“"Ir"", kuriuos įkėlė vienas autorius olgired2017 ir užmaskuotas kaip populiarios pakuotės""Ir"“ (išsiskiria simboliu „I“ (i) vietoj „l“ (L) pavadinime). Įdiegus nurodytus paketus, sistemoje rasti šifravimo raktai ir konfidencialūs vartotojo duomenys buvo išsiųsti į užpuoliko serverį. Probleminiai paketai dabar pašalinti iš PyPI katalogo.
Pats kenkėjiškas kodas buvo „jeIlyfish“ pakete, o paketas „python3-dateutil“ naudojo jį kaip priklausomybę.
Vardai buvo parinkti atsižvelgiant į nedėmesingus vartotojus, kurie ieškodami padarė rašybos klaidų (). Kenkėjiškas paketas „JeIlyfish“ buvo atsisiųstas maždaug prieš metus, 11 m. gruodžio 2018 d., ir liko neaptiktas. Paketas „python3-dateutil“ buvo įkeltas 29 m. lapkričio 2019 d. ir po kelių dienų sukėlė įtarimą vienam iš kūrėjų. Informacija apie kenkėjiškų paketų įdiegimų skaičių nepateikiama.
Medūzų pakete buvo kodas, kuris atsisiuntė „maišos“ sąrašą iš išorinės „GitLab“ saugyklos. Darbo su šiomis „maišos“ logikos analizė parodė, kad juose yra scenarijus, užkoduotas naudojant funkciją base64 ir paleistas po dekodavimo. Scenarijus sistemoje aptiko SSH ir GPG raktus, taip pat kai kurių tipų failus iš namų katalogo ir „PyCharm“ projektų kredencialus, o tada nusiuntė juos į išorinį serverį, veikiantį „DigitalOcean“ debesų infrastruktūroje.
Šaltinis: opennet.ru