Dina diréktori pakét Python PyPI (Indéks Paket Python) bungkusan jahat""Jeung"", anu diunggah ku hiji pangarang olgired2017 sareng nyamar salaku bungkusan populér ""Jeung"" (dibédakeun ku ngagunakeun simbol "Kuring" (i) tinimbang "l" (L) dina ngaran). Saatos masang pakét anu ditangtukeun, konci énkripsi sareng data pangguna rahasia anu aya dina sistem dikirim ka server panyerang. Bungkusan masalah ayeuna parantos dipiceun tina diréktori PyPI.
Kodeu jahat sorangan aya dina pakét "jeIlyfish", sareng pakét "python3-dateutil" nganggo éta salaku kagumantungan.
Ngaran-ngaran dipilih dumasar kana pangguna anu teu ati-ati anu ngalakukeun typo nalika milarian (). Paket jahat "jeIlyfish" diunduh sakitar sataun katukang, dina 11 Désémber 2018, sareng tetep teu kadeteksi. Paket "python3-dateutil" diunggah dina 29 Nopémber 2019 sareng sababaraha dinten saatosna ngahudangkeun kacurigaan diantara salah sahiji pamekar. Inpormasi ngeunaan jumlah pamasangan bungkusan jahat henteu disayogikeun.
Paket ubur-ubur kalebet kode anu ngaunduh daptar "hashes" tina gudang éksternal basis GitLab. Analisis logika pikeun gawé bareng ieu "hashes" némbongkeun yén maranéhna ngandung hiji Aksara disandikeun ngagunakeun fungsi base64 sarta dibuka sanggeus decoding. Naskah mendakan konci SSH sareng GPG dina sistem, ogé sababaraha jinis file tina diréktori bumi sareng kredensial pikeun proyék-proyék PyCharm, teras dikirim ka server éksternal anu dijalankeun dina infrastruktur awan DigitalOcean.
sumber: opennet.ru