У каталозі PyPI (Python Package Index) виявлено три бібліотеки, які містять шкідливий код. До виявлення проблем та видалення з каталогу в сумі пакети встигли завантажити майже 15 тисяч разів.
Пакети dpp-client (10194 завантаження) та dpp-client1234 (1536 завантажень) поширювалися з лютого і включали код для відправки вмісту змінних оточення, які, наприклад, могли включати ключі доступу, токени або паролі до систем безперервної інтеграції або хмарних оточень, таких як AWS. Пакети також відправляли на зовнішній хост список із вмістом каталогів /home, /mnt/mesos/ та mnt/mesos/sandbox.
Пакет aws-login0tool (3042 завантаження) був розміщений у репозиторії PyPI 1 грудня і включав код для завантаження та запуску троянського додатка для захоплення контролю над хостами, які працюють під керуванням Windows. При виборі імені пакета розрахунок був зроблений на те, що клавіші "0" і "-" знаходяться поруч і є ймовірність, що розробник набере "aws-login0tool" замість "aws-login-tool".
Проблемні пакети були виявлені в ході простого експерименту, в рамках якого за допомогою утиліти Bandersnatch було завантажено частину пакетів PyPI (близько 200 тисяч з 330 тисяч пакетів у репозиторії), після чого утилітою grep було виділено та проаналізовано пакети, у файлі setup.py яких згадується виклик «import urllib.request», який зазвичай використовується для надсилання запитів до зовнішніх хостів.
Джерело: opennet.ru