Tilu perpustakaan anu ngandung kode jahat diidentifikasi dina diréktori PyPI (Python Package Index). Sateuacan masalah diidentifikasi sareng dipiceun tina katalog, bungkusan parantos diunduh ampir 15 rébu kali.
Paket dpp-client (10194 undeuran) sareng dpp-client1234 (1536 unduhan) parantos disebarkeun ti bulan Pebruari sareng kalebet kode pikeun ngirim eusi variabel lingkungan, anu, contona, tiasa ngalebetkeun konci aksés, token atanapi kecap akses kana sistem integrasi kontinyu. atanapi lingkungan awan sapertos AWS. Bungkusan ogé ngirim daptar anu ngandung eusi diréktori "/home", "/mnt/mesos/" sareng "mnt/mesos/sandbox" ka host éksternal.
Paket aws-login0tool (3042 undeuran) dipasang ka Repository PyPI dina 1 Désémber sareng kalebet kode pikeun ngaunduh sareng ngajalankeun aplikasi Trojan pikeun ngontrol host anu ngajalankeun Windows. Nalika milih nami pakét, itungan dilakukeun dina kanyataan yén konci "0" sareng "-" caket sareng aya kamungkinan yén pamekar bakal ngetik "aws-login0tool" tinimbang "aws-login-tool".
Bungkusan anu bermasalah diidentifikasi nalika ékspérimén saderhana, dimana sabagian bungkusan PyPI (sakitar 200 rébu tina 330 rébu bungkusan dina gudang) diunduh nganggo utilitas Bandersnatch, saatos éta utilitas grep ngidentipikasi sareng nganalisa bungkusan anu aya. disebutkeun dina file setup.py The "impor urllib.request" panggero, ilaharna dipaké pikeun ngirim requests ka host éksternal.
sumber: opennet.ru