Três bibliotecas contendo código malicioso foram identificadas no diretório PyPI (Python Package Index). Antes de os problemas serem identificados e retirados do catálogo, os pacotes já haviam sido baixados quase 15 mil vezes.
Os pacotes dpp-client (10194 downloads) e dpp-client1234 (1536 downloads) estavam distribuídos desde fevereiro e incluíam código para envio do conteúdo de variáveis de ambiente, que, por exemplo, poderiam incluir chaves de acesso, tokens ou senhas para sistemas de integração contínua ou ambientes de nuvem como AWS. Os pacotes também enviaram uma lista contendo o conteúdo dos diretórios "/home", "/mnt/mesos/" e "mnt/mesos/sandbox" para o host externo.
O pacote aws-login0tool (3042 downloads) foi postado no repositório PyPI em 1º de dezembro e incluía código para baixar e executar um aplicativo Trojan para assumir o controle de hosts que executam o Windows. Na escolha do nome do pacote, o cálculo foi feito pelo fato das teclas “0” e “-” estarem próximas e existe a possibilidade do desenvolvedor digitar “aws-login0tool” em vez de “aws-login-tool”.
Os pacotes problemáticos foram identificados durante um experimento simples, no qual uma parte dos pacotes PyPI (cerca de 200 mil dos 330 mil pacotes no repositório) foi baixada usando o utilitário Bandersnatch, após o qual o utilitário grep identificou e analisou os pacotes que foram mencionado no arquivo setup.py A chamada "import urllib.request", normalmente usada para enviar solicitações a hosts externos.
Fonte: opennet.ru