Ba thư viện chứa mã độc được xác định trong thư mục PyPI (Python Package Index). Trước khi vấn đề được xác định và xóa khỏi danh mục, các gói này đã được tải xuống gần 15 nghìn lần.
Các gói dpp-client (10194 lượt tải xuống) và dpp-client1234 (1536 lượt tải xuống) đã được phân phối từ tháng XNUMX và bao gồm mã để gửi nội dung của các biến môi trường, ví dụ: có thể bao gồm khóa truy cập, mã thông báo hoặc mật khẩu đến các hệ thống tích hợp liên tục hoặc môi trường đám mây như AWS. Các gói này cũng gửi một danh sách chứa nội dung của các thư mục "/home", "/mnt/mesos/" và "mnt/mesos/sandbox" tới máy chủ bên ngoài.
Gói aws-login0tool (3042 lượt tải xuống) đã được đăng lên kho lưu trữ PyPI vào ngày 1 tháng 0 và bao gồm mã để tải xuống và chạy ứng dụng Trojan nhằm kiểm soát các máy chủ chạy Windows. Khi chọn tên gói, phép tính được thực hiện dựa trên thực tế là các phím “0” và “-” ở gần nhau và có khả năng nhà phát triển sẽ gõ “aws-loginXNUMXtool” thay vì “aws-login-tool”.
Các gói có vấn đề đã được xác định trong một thử nghiệm đơn giản, trong đó một phần gói PyPI (khoảng 200 nghìn trong số 330 nghìn gói trong kho lưu trữ) đã được tải xuống bằng tiện ích Bandersnatch, sau đó tiện ích grep đã xác định và phân tích các gói bị lỗi. được đề cập trong tệp setup.py Lệnh gọi "nhập urllib.request", thường được sử dụng để gửi yêu cầu đến các máy chủ bên ngoài.
Nguồn: opennet.ru