PyPI (Python Package Index) ڊاريڪٽري ۾ ٽن لائبريرين جي نشاندهي ڪئي وئي جن ۾ خراب ڪوڊ شامل آهن. مسئلن جي نشاندهي ڪرڻ کان اڳ ۽ فهرست مان هٽايو ويو، پيڪيجز تقريبا 15 هزار ڀيرا ڊائون لوڊ ڪيا ويا.
dpp-client (10194 ڊائون لوڊ) ۽ dpp-client1234 (1536 ڊائون لوڊ) پيڪيجز فيبروري کان ورهايا ويا ۽ ان ۾ ماحوليات جي متغيرن جي مواد موڪلڻ لاءِ ڪوڊ شامل ڪيو ويو، مثال طور، مسلسل انٽيگريشن سسٽم تائين رسائي ڪي، ٽوڪن يا پاسورڊ شامل ڪري سگھن ٿا. يا بادل ماحول جهڙوڪ AWS. پيڪيجز پڻ موڪليا هڪ فهرست جنهن ۾ مواد شامل آهن "/home"، "/mnt/mesos/" ۽ "mnt/mesos/sandbox" ڊائريڪٽري خارجي ميزبان ڏانهن.
aws-login0tool پيڪيج (3042 ڊائون لوڊ) 1 ڊسمبر تي PyPI مخزن تي پوسٽ ڪيو ويو ۽ ونڊوز تي هلندڙ ميزبانن تي ڪنٽرول ڪرڻ لاءِ ٽروجن ايپليڪيشن ڊائون لوڊ ۽ هلائڻ لاءِ ڪوڊ شامل ڪيو ويو. جڏهن پيڪيج جو نالو چونڊيو، حساب هن حقيقت تي ڪيو ويو ته "0" ۽ "-" چابيون ويجھي آهن ۽ اهو امڪان آهي ته ڊولپر "aws-login-tool" جي بدران "aws-login0tool" ٽائيپ ڪندو.
مشڪلاتي پيڪيجز جي سڃاڻپ هڪ سادي تجربي دوران ڪئي وئي، جنهن ۾ PyPI پيڪيجز جو هڪ حصو (تقريبن 200 هزار مان 330 هزار پيڪيجز مخزن ۾) Bandersnatch يوٽيلٽي استعمال ڪندي ڊائون لوڊ ڪيا ويا، جنهن کان پوءِ گريپ يوٽيلٽي انهن پيڪيجز جي نشاندهي ڪئي ۽ ان جو تجزيو ڪيو. setup.py فائل ۾ ذڪر ڪيو ويو آهي "import urllib.request" ڪال، عام طور تي استعمال ڪيو ويندو آهي درخواستون موڪلڻ لاءِ ٻاهرين ميزبانن ڏانهن.
جو ذريعو: opennet.ru