Awọn ile ikawe mẹta ti o ni koodu irira ni a damọ ninu iwe ilana PyPI (Atọka Package Python). Ṣaaju ki o to ṣe idanimọ awọn iṣoro ati yọkuro kuro ninu katalogi, awọn idii ti gba lati ayelujara fẹrẹ to awọn akoko 15 ẹgbẹrun.
Awọn idii dpp-onibara (awọn igbasilẹ 10194) ati awọn idii dpp-client1234 (awọn igbasilẹ 1536) ti pin kaakiri lati Kínní ati koodu ti o wa pẹlu fifiranṣẹ awọn akoonu ti awọn oniyipada ayika, eyiti, fun apẹẹrẹ, le pẹlu awọn bọtini iwọle, awọn ami tabi awọn ọrọ igbaniwọle si awọn eto isọpọ ti nlọsiwaju. tabi awọn agbegbe awọsanma bii AWS. Awọn idii naa tun fi atokọ ranṣẹ ti o ni awọn akoonu ti “/ ile”, “/mnt/mesos/” ati “mnt/mesos/ sandbox” awọn ilana si agbalejo ita.
A fi àpò aws-login0tool (àwọn ìgbàsílẹ̀ 3042) sí ibi ìkópamọ́ PyPI ní ọjọ́ kìíní oṣù Kejìlá, ó sì ní kódù láti gba àti ṣiṣẹ́ ohun èlò Trojan láti gba ìṣàkóso àwọn olùgbàlejò tó ń ṣiṣẹ́. WindowsNígbà tí a bá ń yan orúkọ àpò náà, èrò náà ni pé àwọn kọ́kọ́rọ́ "0" àti "-" sún mọ́ ara wọn, nítorí náà ó ṣeé ṣe kí olùgbékalẹ̀ náà tẹ "aws-login0tool" dípò "aws-login-tool."
Awọn idii iṣoro ni a ṣe idanimọ lakoko idanwo ti o rọrun, ninu eyiti apakan kan ti awọn idii PyPI (nipa 200 ẹgbẹrun ninu awọn idii 330 ẹgbẹrun ni ibi ipamọ) ni a ṣe igbasilẹ nipa lilo ohun elo Bandersnatch, lẹhin eyi ohun elo grep ṣe idanimọ ati itupalẹ awọn idii ti o jẹ mẹnuba ninu faili setup.py Ipe “gbe wọle urllib.request”, ni igbagbogbo lo lati fi awọn ibeere ranṣẹ si awọn agbalejo ita.
orisun: opennet.ru
