Tiga perpustakaan yang mengandungi kod berniat jahat telah dikenal pasti dalam direktori PyPI (Python Package Index). Sebelum masalah dikenal pasti dan dikeluarkan dari katalog, pakej telah dimuat turun hampir 15 ribu kali.
Pakej dpp-client (10194 muat turun) dan dpp-client1234 (1536 muat turun) telah diedarkan sejak Februari dan menyertakan kod untuk menghantar kandungan pembolehubah persekitaran, yang, sebagai contoh, boleh memasukkan kunci akses, token atau kata laluan kepada sistem penyepaduan berterusan atau persekitaran awan seperti AWS. Pakej juga menghantar senarai yang mengandungi kandungan direktori "/home", "/mnt/mesos/" dan "mnt/mesos/sandbox" kepada hos luaran.
Pakej aws-login0tool (3042 muat turun) telah diposkan ke repositori PyPI pada 1 Disember dan menyertakan kod untuk memuat turun dan menjalankan aplikasi Trojan untuk mengawal hos yang menjalankan Windows. Apabila memilih nama pakej, pengiraan dibuat berdasarkan fakta bahawa kekunci "0" dan "-" berada berdekatan dan terdapat kemungkinan bahawa pembangun akan menaip "aws-login0tool" dan bukannya "aws-login-tool".
Pakej bermasalah telah dikenal pasti semasa percubaan mudah, di mana sebahagian daripada pakej PyPI (kira-kira 200 ribu daripada 330 ribu pakej dalam repositori) telah dimuat turun menggunakan utiliti Bandersnatch, selepas itu utiliti grep mengenal pasti dan menganalisis pakej yang telah disebut dalam fail setup.py Panggilan "import urllib.request", biasanya digunakan untuk menghantar permintaan kepada hos luaran.
Sumber: opennet.ru