V adresári PyPI (Python Package Index) boli identifikované tri knižnice obsahujúce škodlivý kód. Kým boli problémy identifikované a odstránené z katalógu, balíky boli stiahnuté takmer 15 tisíc krát.
Balíky dpp-client (10194 1234 stiahnutí) a dpp-client1536 (XNUMX XNUMX stiahnutí) boli distribuované od februára a obsahovali kód na odosielanie obsahu premenných prostredia, ktoré by napríklad mohli zahŕňať prístupové kľúče, tokeny alebo heslá do systémov nepretržitej integrácie. alebo cloudové prostredia ako AWS. Balíky tiež poslali externému hostiteľovi zoznam obsahujúci obsah adresárov "/home", "/mnt/mesos/" a "mnt/mesos/sandbox".
Balík aws-login0tool (3042 1 stiahnutí) bol zverejnený v úložisku PyPI 0. decembra a obsahoval kód na stiahnutie a spustenie aplikácie trójskych koní na prevzatie kontroly nad hostiteľmi so systémom Windows. Pri výbere názvu balíka bol výpočet vykonaný na základe skutočnosti, že klávesy „0“ a „-“ sú blízko a existuje možnosť, že vývojár namiesto „aws-login-tool“ napíše „aws-loginXNUMXtool“.
Problémové balíky boli identifikované počas jednoduchého experimentu, v ktorom bola časť balíkov PyPI (asi 200 tisíc z 330 tisíc balíkov v úložisku) stiahnutá pomocou nástroja Bandersnatch, po ktorom nástroj grep identifikoval a analyzoval balíky, ktoré boli uvedené v súbore setup.py Volanie „import urllib.request“, ktoré sa zvyčajne používa na odosielanie požiadaviek externým hostiteľom.
Zdroj: opennet.ru