Tre biblioteker som inneholdt skadelig kode ble oppdaget i PyPI-katalogen (Python Package Index). Før problemene ble identifisert og fjernet fra katalogen, hadde pakkene blitt lastet ned totalt nesten 15 000 ganger.
Pakkene dpp-client (10 194 nedlastinger) og dpp-client1234 (1 536 nedlastinger) ble distribuert siden februar og inkluderte kode for å sende innholdet i miljøvariabler, som for eksempel kunne inkludere tilgangsnøkler, tokener eller passord for kontinuerlige integrasjonssystemer eller skymiljøer som AWS. Pakkene sendte også en liste over innholdet i katalogene "/home", "/mnt/mesos/" og "mnt/mesos/sandbox" til en ekstern vert.
Pakken aws-login0tool (3042 nedlastinger) ble lagt ut i PyPI-depotet 1. desember og inkluderte kode for å laste ned og kjøre en trojansk applikasjon for å ta kontroll over verter som kjører. WindowsDa pakkenavnet ble valgt, var ideen at tastene «0» og «-» skulle være tett sammen, så det er en mulighet for at utvikleren skriver «aws-login0tool» i stedet for «aws-login-tool».
De problematiske pakkene ble identifisert gjennom et enkelt eksperiment der et delsett av PyPI-pakker (rundt 200 000 av de 330 000 pakkene i depotet) ble lastet ned ved hjelp av Bandersnatch, og deretter ble grep-verktøyet brukt til å isolere og analysere de pakkene hvis setup.py-fil nevnte kallet "import urllib.request", som vanligvis brukes til å sende forespørsler til eksterne verter.
Kilde: opennet.ru
