PyPI Python پیکیجز ڈائرکٹری میں دو بدنیتی پر مبنی لائبریریوں کا پتہ چلا

Python پیکیج ڈائرکٹری میں PyPI (Python Package Index) دریافت کیا نقصان دہ پیکجز "python3-dateutil"اور"جیلیفش"، جسے ایک مصنف olgired2017 نے اپ لوڈ کیا تھا اور مقبول پیکجز کے بھیس میں تھا"dateutil"اور"جیلیفش" (نام میں "l" (L) کی بجائے علامت "I" (i) کے استعمال سے ممتاز)۔ مخصوص پیکجز کو انسٹال کرنے کے بعد، سسٹم میں پائی جانے والی انکرپشن کیز اور صارف کا خفیہ ڈیٹا حملہ آور کے سرور کو بھیج دیا گیا۔ پریشانی والے پیکجوں کو اب PyPI ڈائریکٹری سے ہٹا دیا گیا ہے۔

بدنیتی پر مبنی کوڈ خود "jeIlyfish" پیکیج میں موجود تھا، اور "python3-dateutil" پیکیج نے اسے بطور انحصار استعمال کیا۔
ناموں کا انتخاب ان غافل صارفین کی بنیاد پر کیا گیا جنہوں نے تلاش کرتے وقت ٹائپ کی غلطیاں کیں (typosquatting)۔ بدنیتی پر مبنی پیکیج "jeIlyfish" تقریباً ایک سال پہلے، 11 دسمبر 2018 کو ڈاؤن لوڈ کیا گیا تھا، اور اس کا پتہ نہیں چلا۔ پیکج "python3-dateutil" 29 نومبر 2019 کو اپ لوڈ کیا گیا تھا اور کچھ دنوں بعد اس نے ایک ڈویلپر کے درمیان شکوک و شبہات کو جنم دیا۔ بدنیتی پر مبنی پیکجوں کی تنصیبات کی تعداد کے بارے میں معلومات فراہم نہیں کی گئی ہیں۔

جیلی فش پیکیج میں کوڈ شامل تھا جس نے بیرونی گٹ لیب پر مبنی ذخیرہ سے "ہیشز" کی فہرست ڈاؤن لوڈ کی تھی۔ ان "ہیشز" کے ساتھ کام کرنے کی منطق کے تجزیے سے پتہ چلتا ہے کہ ان میں ایک اسکرپٹ ہے جسے بیس 64 فنکشن کا استعمال کرتے ہوئے انکوڈ کیا گیا ہے اور ڈی کوڈنگ کے بعد لانچ کیا گیا ہے۔ اسکرپٹ نے سسٹم میں SSH اور GPG کیز کے ساتھ ساتھ ہوم ڈائرکٹری سے فائلوں کی کچھ اقسام اور PyCharm پروجیکٹس کے لیے اسناد بھی تلاش کیں، اور پھر انہیں ڈیجیٹل اوشین کلاؤڈ انفراسٹرکچر پر چلنے والے ایک بیرونی سرور پر بھیج دیا۔

ماخذ: opennet.ru