ในไดเร็กทอรีแพ็คเกจ Python PyPI (Python Package Index) แพ็คเกจที่เป็นอันตราย ""และ"" ซึ่งอัปโหลดโดยผู้เขียนคนหนึ่ง olgired2017 และปลอมตัวเป็นแพ็คเกจยอดนิยม ""และ"" (โดดเด่นด้วยการใช้สัญลักษณ์ "ฉัน" (i) แทน "l" (L) ในชื่อ) หลังจากติดตั้งแพ็คเกจที่ระบุ คีย์เข้ารหัสและข้อมูลผู้ใช้ที่เป็นความลับที่พบในระบบจะถูกส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี แพ็คเกจที่มีปัญหาได้ถูกลบออกจากไดเร็กทอรี PyPI แล้ว
โค้ดที่เป็นอันตรายนั้นมีอยู่ในแพ็คเกจ "jeIlyfish" และแพ็คเกจ "python3-dateutil" ถูกใช้เป็นการพึ่งพา
ชื่อถูกเลือกตามผู้ใช้ที่ไม่ตั้งใจซึ่งพิมพ์ผิดเมื่อค้นหา (). แพ็คเกจที่เป็นอันตราย “jeIlyfish” ถูกดาวน์โหลดเมื่อประมาณหนึ่งปีที่แล้วในวันที่ 11 ธันวาคม 2018 และยังคงตรวจไม่พบ แพ็คเกจ "python3-dateutil" ถูกอัปโหลดเมื่อวันที่ 29 พฤศจิกายน 2019 และไม่กี่วันต่อมาก็ทำให้เกิดความสงสัยในหมู่นักพัฒนาคนหนึ่ง ไม่ได้ให้ข้อมูลเกี่ยวกับจำนวนการติดตั้งแพ็คเกจที่เป็นอันตราย
แพ็คเกจแมงกะพรุนรวมโค้ดที่ดาวน์โหลดรายการ "แฮช" จากพื้นที่เก็บข้อมูลภายนอกที่ใช้ GitLab การวิเคราะห์ตรรกะในการทำงานกับ "แฮช" เหล่านี้แสดงให้เห็นว่ามีสคริปต์ที่เข้ารหัสโดยใช้ฟังก์ชัน base64 และเปิดใช้งานหลังจากการถอดรหัส สคริปต์พบคีย์ SSH และ GPG ในระบบ รวมถึงไฟล์บางประเภทจากโฮมไดเร็กทอรีและข้อมูลประจำตัวสำหรับโปรเจ็กต์ PyCharm จากนั้นจึงส่งไปยังเซิร์ฟเวอร์ภายนอกที่ทำงานบนโครงสร้างพื้นฐานคลาวด์ DigitalOcean
ที่มา: opennet.ru