在Python包目录PyPI(Python Package Index)中 恶意包”“和””,由一位作者 olgired2017 上传并伪装成流行软件包““和””(通过在名称中使用符号“I”(i) 代替“l”(L) 进行区分)。 安装指定的软件包后,系统中发现的加密密钥和机密用户数据被发送到攻击者的服务器。 有问题的包现已从 PyPI 目录中删除。
恶意代码本身存在于“jeIlyfish”包中,“python3-dateutil”包将其用作依赖项。
这些名称是根据搜索时犯错的粗心用户选择的()。 恶意软件包“jeIlyfish”是在大约一年前的 11 年 2018 月 3 日下载的,但一直未被检测到。 “python29-dateutil”包于 2019 年 XNUMX 月 XNUMX 日上传,几天后引起了其中一名开发人员的怀疑。 未提供有关恶意软件包安装数量的信息。
jellyfish 包包含从基于 GitLab 的外部存储库下载“哈希值”列表的代码。 对处理这些“哈希”的逻辑的分析表明,它们包含使用 base64 函数编码并在解码后启动的脚本。 该脚本在系统中找到 SSH 和 GPG 密钥,以及 PyCharm 项目主目录中的某些类型的文件和凭证,然后将它们发送到在 DigitalOcean 云基础设施上运行的外部服务器。
来源: opennet.ru