在Python套件目錄PyPI(Python Package Index)中 惡意包”“和””,由一位作者 olgired2017 上傳並偽裝成流行軟體包““和”」(透過在名稱中使用符號「I」(i) 來代替「l」(L) 來區分)。 安裝指定的軟體包後,系統中發現的加密金鑰和機密用戶資料被傳送到攻擊者的伺服器。 有問題的包現已從 PyPI 目錄中刪除。
惡意程式碼本身存在於“jeIlyfish”套件中,“python3-dateutil”套件將其用作依賴項。
這些名稱是根據搜尋時犯錯的粗心用戶選擇的()。 惡意軟體套件「jeIlyfish」是在大約一年前的 11 年 2018 月 3 日下載的,但一直未被檢測到。 「python29-dateutil」套件於 2019 年 XNUMX 月 XNUMX 日上傳,幾天後引起了其中一名開發人員的懷疑。 未提供有關惡意軟體包安裝數量的資訊。
jellyfish 套件包含從基於 GitLab 的外部儲存庫下載「雜湊值」清單的程式碼。 對處理這些「雜湊」的邏輯的分析表明,它們包含使用 base64 函數編碼並在解碼後啟動的腳本。 腳本在系統中找到 SSH 和 GPG 金鑰,以及 PyCharm 專案主目錄中的某些類型的檔案和憑證,然後將它們傳送到在 DigitalOcean 雲端基礎架構上執行的外部伺服器。
來源: opennet.ru