Tatlong aklatan na naglalaman ng malisyosong code ang natukoy sa direktoryo ng PyPI (Python Package Index). Bago ang mga problema ay natukoy at inalis mula sa catalog, ang mga pakete ay nai-download na halos 15 libong beses.
Ang mga dpp-client (10194 na pag-download) at dpp-client1234 (1536 na mga pag-download) na mga pakete ay ipinamahagi mula noong Pebrero at may kasamang code para sa pagpapadala ng mga nilalaman ng mga variable ng kapaligiran, na, halimbawa, ay maaaring magsama ng mga access key, token o password sa tuluy-tuloy na mga sistema ng pagsasama. o mga cloud environment gaya ng AWS. Nagpadala rin ang mga pakete ng isang listahan na naglalaman ng mga nilalaman ng "/home", "/mnt/mesos/" at "mnt/mesos/sandbox" na mga direktoryo sa panlabas na host.
Ang aws-login0tool package (3042 download) ay nai-post sa PyPI repository noong Disyembre 1 at may kasamang code para mag-download at magpatakbo ng isang Trojan application para kontrolin ang mga host na nagpapatakbo ng Windows. Kapag pumipili ng pangalan ng package, ang pagkalkula ay ginawa sa katotohanan na ang "0" at "-" na mga key ay malapit at may posibilidad na i-type ng developer ang "aws-login0tool" sa halip na "aws-login-tool".
Ang mga problemang pakete ay natukoy sa panahon ng isang simpleng eksperimento, kung saan ang isang bahagi ng mga pakete ng PyPI (mga 200 sa 330 na mga pakete sa imbakan) ay na-download gamit ang Bandersnatch utility, pagkatapos nito ay natukoy at sinuri ng grep utility ang mga pakete na nabanggit sa setup.py file Ang "import urllib.request" na tawag, karaniwang ginagamit upang magpadala ng mga kahilingan sa mga external na host.
Pinagmulan: opennet.ru