В каталозі Python-пакетів PyPI виявлено дві шкідливі бібліотеки

Alex Alex 04 грудня 2019
В каталозі Python-пакетів PyPI виявлено дві шкідливі бібліотеки

В каталозі Python-пакетів PyPI (Python Package Index) виявлено шкідливі пакети "python3-dateutil" і "jeIlyfish", які були завантажені одним автором olgired2017 і маскувалися під популярні пакети "dateutil" і "jellyfish" (відрізняється використанням символу "I" (i) замість "l" (L) у назві). Після встановлення зазначених пакетів на сервер зловмисника відправлялися знайдені в системі ключі шифрування і конфіденційні дані користувача. В даний час проблемні пакети вже видалені з каталогу PyPI.

Безпосередньо шкідливий код був присутній в пакеті "jeIlyfish", а пакет "python3-dateutil" використовував його в якості залежності. Назви були обрані з розрахунку на неуважних користувачів, допускають помилки при пошуку (тайпсквоттинг). Шкідливий пакет "jeIlyfish" був завантажений близько року тому — 11 грудня 2018 року і залишався непоміченим. Пакет "python3-dateutil" був завантажений 29 листопада 2019 року і через кілька днів викликав підозру в одного з розробників. Інформація про кількість установок шкідливих пакетів не наводиться.

Пакет jellyfish включав в себе код, який завантажує список "геша" з зовнішнього сховища на базі GitLab. Розбір логіки роботи з цими "хэшами" показав, що вони містять скрипт, закодований за допомогою функції base64 і запускається після декодування. Скрипт знаходив в системі ключі SSH і GPG, а також деякі типи файлів з домашнього каталога і облікові дані для проектів PyCharm, після чого відправляв їх на зовнішній сервер, запущений у хмарної інфраструктури DigitalOcean.

Source: www.opennet.ru

Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.