在 PyPI(Python 包索引)目录中发现了三个包含恶意代码的库。 在发现问题并将其从目录中删除之前,这些软件包已被下载了近 15 次。
dpp-client(10194 次下载)和 dpp-client1234(1536 次下载)软件包自 XNUMX 月份以来已分发,其中包含用于发送环境变量内容的代码,例如,可能包括持续集成系统的访问密钥、令牌或密码或云环境,例如AWS。 这些软件包还将包含“/home”、“/mnt/mesos/”和“mnt/mesos/sandbox”目录内容的列表发送到外部主机。
aws-login0tool 软件包(3042 次下载)已于 1 月 0 日发布到 PyPI 存储库,其中包含用于下载和运行木马应用程序以控制运行 Windows 的主机的代码。 选择包名称时,根据“0”和“-”键位于附近的情况进行计算,开发人员可能会键入“aws-loginXNUMXtool”而不是“aws-login-tool”。
有问题的包是在一个简单的实验中识别出来的,其中使用 Bandersnatch 实用程序下载了部分 PyPI 包(存储库中的 200 万个包中的大约 330 万个),之后 grep 实用程序识别并分析了被修复的包。 setup.py 文件中提到的“import urllib.request”调用,通常用于向外部主机发送请求。
来源: opennet.ru