V imeniku PyPI (Python Package Index) so bile identificirane tri knjižnice, ki vsebujejo zlonamerno kodo. Preden so bile težave ugotovljene in odstranjene iz kataloga, so bili paketi preneseni skoraj 15 tisočkrat.
Paketa dpp-client (10194 prenosov) in dpp-client1234 (1536 prenosov) sta bila distribuirana od februarja in sta vključevala kodo za pošiljanje vsebine spremenljivk okolja, ki bi lahko na primer vključevala ključe za dostop, žetone ali gesla v sisteme za neprekinjeno integracijo. ali okolja v oblaku, kot je AWS. Paketi so zunanjemu gostitelju poslali tudi seznam z vsebino imenikov "/home", "/mnt/mesos/" in "mnt/mesos/sandbox".
Paket aws-login0tool (3042 prenosov) je bil 1. decembra objavljen v repozitoriju PyPI in je vključeval kodo za prenos in zagon trojanske aplikacije za prevzem nadzora nad gostitelji z operacijskim sistemom Windows. Pri izbiri imena paketa je bil izračun narejen na tem, da sta tipki “0” in “-” v bližini in obstaja možnost, da bo razvijalec namesto “aws-login-tool” vnesel “aws-login0tool”.
Problematični paketi so bili identificirani med preprostim eksperimentom, v katerem je bil del paketov PyPI (približno 200 tisoč od 330 tisoč paketov v repozitoriju) prenesen s pripomočkom Bandersnatch, nato pa je pripomoček grep identificiral in analiziral pakete, ki so bili omenjen v datoteki setup.py Klic "import urllib.request", ki se običajno uporablja za pošiljanje zahtev zunanjim gostiteljem.
Vir: opennet.ru