Er zijn drie bibliotheken met kwaadaardige code geïdentificeerd in de PyPI-map (Python Package Index). Voordat problemen werden geïdentificeerd en uit de catalogus werden verwijderd, waren de pakketten bijna 15 keer gedownload.
De pakketten dpp-client (10194 downloads) en dpp-client1234 (1536 downloads) werden sinds februari gedistribueerd en bevatten code voor het verzenden van de inhoud van omgevingsvariabelen, die bijvoorbeeld toegangssleutels, tokens of wachtwoorden naar continue integratiesystemen zouden kunnen bevatten of cloudomgevingen zoals AWS. De pakketten stuurden ook een lijst met de inhoud van de mappen "/home", "/mnt/mesos/" en "mnt/mesos/sandbox" naar de externe host.
Het aws-login0tool-pakket (3042 downloads) werd op 1 december in de PyPI-repository geplaatst en bevatte code om een Trojaans programma te downloaden en uit te voeren om de controle over hosts met Windows over te nemen. Bij het kiezen van de pakketnaam is er rekening mee gehouden dat de toetsen “0” en “-” dichtbij zijn en dat de mogelijkheid bestaat dat de ontwikkelaar “aws-login0tool” typt in plaats van “aws-login-tool”.
De problematische pakketten werden geïdentificeerd tijdens een eenvoudig experiment, waarbij een deel van de PyPI-pakketten (ongeveer 200 duizend van de 330 duizend pakketten in de repository) werden gedownload met behulp van het hulpprogramma Bandersnatch, waarna het grep-hulpprogramma de pakketten identificeerde en analyseerde die werden gevonden. vermeld in het setup.py bestand De "import urllib.request" aanroep, meestal gebruikt om verzoeken naar externe hosts te sturen.
Bron: opennet.ru