PyPI (Python Package Index) ڈائریکٹری میں نقصان دہ کوڈ والی تین لائبریریوں کی نشاندہی کی گئی۔ مسائل کی نشاندہی کرنے اور کیٹلاگ سے ہٹانے سے پہلے، پیکجوں کو تقریباً 15 ہزار بار ڈاؤن لوڈ کیا جا چکا تھا۔
dpp-client (10194 ڈاؤن لوڈز) اور dpp-client1234 (1536 ڈاؤن لوڈز) پیکجز فروری سے تقسیم کیے گئے تھے اور ان میں ماحولیاتی متغیرات کے مواد کو بھیجنے کے لیے کوڈ شامل کیا گیا تھا، جس میں، مثال کے طور پر، مسلسل انضمام کے نظام کے لیے رسائی کیز، ٹوکنز یا پاس ورڈ شامل ہو سکتے ہیں۔ یا بادل کے ماحول جیسے AWS۔ پیکجز نے بیرونی میزبان کو "/home"، "/mnt/mesos/" اور "mnt/mesos/sandbox" ڈائریکٹریز کے مواد پر مشتمل ایک فہرست بھی بھیجی۔
aws-login0tool پیکیج (3042 ڈاؤن لوڈز) 1 دسمبر کو PyPI ریپوزٹری میں پوسٹ کیا گیا تھا اور اس میں ونڈوز چلانے والے میزبانوں کو کنٹرول کرنے کے لیے ٹروجن ایپلیکیشن کو ڈاؤن لوڈ کرنے اور چلانے کے لیے کوڈ شامل کیا گیا تھا۔ پیکیج کے نام کا انتخاب کرتے وقت، حساب اس حقیقت پر کیا گیا تھا کہ "0" اور "-" کلیدیں قریب ہیں اور اس بات کا امکان ہے کہ ڈویلپر "aws-login-tool" کے بجائے "aws-login0tool" ٹائپ کرے گا۔
پریشانی والے پیکجوں کی نشاندہی ایک سادہ تجربے کے دوران کی گئی، جس میں PyPI پیکجوں کا ایک حصہ (ذخیرہ میں موجود 200 ہزار پیکجوں میں سے تقریباً 330 ہزار) کو Bandersnatch یوٹیلیٹی کا استعمال کرتے ہوئے ڈاؤن لوڈ کیا گیا، جس کے بعد grep یوٹیلیٹی نے ان پیکجوں کی نشاندہی کی اور ان کا تجزیہ کیا۔ setup.py فائل میں ذکر کردہ "import urllib.request" کال، جو عام طور پر بیرونی میزبانوں کو درخواستیں بھیجنے کے لیے استعمال ہوتی ہے۔
ماخذ: opennet.ru