PyPI (Python Package Index) නාමාවලියෙහි අනිෂ්ට කේතය අඩංගු පුස්තකාල තුනක් හඳුනා ගන්නා ලදී. ගැටළු හඳුනාගෙන නාමාවලියෙන් ඉවත් කිරීමට පෙර, පැකේජ 15 වාරයක් පමණ බාගත කර ඇත.
dpp-client (බාගැනීම් 10194) සහ dpp-client1234 (බාගැනීම් 1536) පැකේජ පෙබරවාරි මාසයේ සිට බෙදා හැර ඇති අතර පාරිසරික විචල්යවල අන්තර්ගතය යැවීම සඳහා කේතය ඇතුළත් කර ඇත, උදාහරණයක් ලෙස, අඛණ්ඩ ඒකාබද්ධතා පද්ධති සඳහා ප්රවේශ යතුරු, ටෝකන හෝ මුරපද ඇතුළත් විය හැකිය. හෝ AWS වැනි වලාකුළු පරිසරයන්. පැකේජ මගින් "/home", "/mnt/mesos/" සහ "mnt/mesos/sandbox" නාමාවලිවල අන්තර්ගත අඩංගු ලැයිස්තුවක් බාහිර ධාරකයට යවන ලදී.
aws-login0tool පැකේජය (බාගැනීම් 3042) දෙසැම්බර් 1 වන දින PyPI ගබඩාවට පළ කරන ලද අතර Windows ධාවනය වන සත්කාරක පාලනය කිරීමට ට්රෝජන් යෙදුමක් බාගත කර ධාවනය කිරීමට කේතය ඇතුළත් විය. පැකේජයේ නම තෝරාගැනීමේදී, “0” සහ “-” යතුරු අසල ඇති බව සහ සංවර්ධකයා “aws-login-tool” වෙනුවට “aws-login0tool” ටයිප් කිරීමේ හැකියාවක් තිබීම මත ගණනය කිරීම සිදු කරන ලදී.
සරල අත්හදා බැලීමකදී ගැටළු සහගත පැකේජ හඳුනා ගන්නා ලද අතර, PyPI පැකේජවල කොටසක් (නිධිය තුළ ඇති පැකේජ 200 න් 330 ක් පමණ) Bandersnatch උපයෝගීතාව භාවිතයෙන් බාගත කර ඇති අතර, පසුව grep උපයෝගීතාව විසින් පැකේජ හඳුනාගෙන විශ්ලේෂණය කරන ලදී. setup.py ගොනුවේ සඳහන් කර ඇති "ආයාත urllib.request" ඇමතුම, සාමාන්යයෙන් බාහිර සත්කාරක වෙත ඉල්ලීම් යැවීමට භාවිතා කරයි.
මූලාශ්රය: opennet.ru