มีการระบุไลบรารีสามไลบรารีที่มีโค้ดที่เป็นอันตรายในไดเร็กทอรี PyPI (Python Package Index) ก่อนที่จะระบุปัญหาและลบออกจากแค็ตตาล็อก มีการดาวน์โหลดแพ็คเกจเกือบ 15 ครั้ง
แพ็คเกจ dpp-client (ดาวน์โหลด 10194 ครั้ง) และ dpp-client1234 (ดาวน์โหลด 1536 ครั้ง) ได้รับการแจกจ่ายตั้งแต่เดือนกุมภาพันธ์ และรวมโค้ดสำหรับส่งเนื้อหาของตัวแปรสภาพแวดล้อม ซึ่งอาจรวมถึงคีย์การเข้าถึง โทเค็น หรือรหัสผ่านไปยังระบบบูรณาการอย่างต่อเนื่อง หรือสภาพแวดล้อมคลาวด์เช่น AWS แพ็คเกจยังส่งรายการไปยังโฮสต์ภายนอกที่มีเนื้อหาของไดเร็กทอรี "/home", "/mnt/mesos/" และ "mnt/mesos/sandbox"
แพ็คเกจ aws-login0tool (ดาวน์โหลด 3042 ครั้ง) ถูกโพสต์ไปยังที่เก็บ PyPI เมื่อวันที่ 1 ธันวาคม และรวมโค้ดสำหรับดาวน์โหลดและเรียกใช้แอปพลิเคชันโทรจันเพื่อควบคุมโฮสต์ที่ใช้ Windows เมื่อเลือกชื่อแพ็คเกจ การคำนวณเกิดขึ้นจากข้อเท็จจริงที่ว่าคีย์ "0" และ "-" อยู่ใกล้ๆ และมีความเป็นไปได้ที่นักพัฒนาจะพิมพ์ "aws-login0tool" แทน "aws-login-tool"
แพ็คเกจที่มีปัญหาถูกระบุในระหว่างการทดลองง่ายๆ โดยที่ส่วนหนึ่งของแพ็คเกจ PyPI (ประมาณ 200 จาก 330 แพ็คเกจในพื้นที่เก็บข้อมูล) ถูกดาวน์โหลดโดยใช้ยูทิลิตี้ Bandersnatch หลังจากนั้นยูทิลิตี้ grep ระบุและวิเคราะห์แพ็คเกจที่ กล่าวถึงในไฟล์ setup.py การเรียก "import urllib.request" โดยทั่วไปจะใช้เพื่อส่งคำขอไปยังโฮสต์ภายนอก
ที่มา: opennet.ru