Tre bibliotek som innehåller skadlig kod identifierades i PyPI-katalogen (Python Package Index). Innan problem identifierades och togs bort från katalogen hade paketen laddats ner nästan 15 tusen gånger.
Paketen dpp-client (10194 1234 nedladdningar) och dpp-client1536 (XNUMX XNUMX nedladdningar) hade distribuerats sedan februari och innehöll kod för att skicka innehållet i miljövariabler, som till exempel kan inkludera åtkomstnycklar, tokens eller lösenord till kontinuerliga integrationssystem eller molnmiljöer som AWS. Paketen skickade också en lista med innehållet i katalogerna "/home", "/mnt/mesos/" och "mnt/mesos/sandbox" till den externa värden.
Paketet aws-login0tool (3042 1 nedladdningar) postades till PyPI-förvaret den 0 december och inkluderade kod för att ladda ner och köra en trojansk applikation för att ta kontroll över värdar som kör Windows. När man valde paketnamnet gjordes beräkningen på det faktum att tangenterna "0" och "-" finns i närheten och det finns en möjlighet att utvecklaren skriver "aws-loginXNUMXtool" istället för "aws-login-tool".
De problematiska paketen identifierades under ett enkelt experiment, där en del av PyPI-paketen (cirka 200 tusen av 330 tusen paket i förvaret) laddades ner med hjälp av verktyget Bandersnatch, varefter verktyget grep identifierade och analyserade de paket som var nämns i setup.py-filen "import urllib.request"-anropet, används vanligtvis för att skicka förfrågningar till externa värdar.
Källa: opennet.ru