В каталоге Python-пакетов нашли вредоносные библиотеки

Python, вредоносные пакеты
Метки: /

В каталоге Python-пакетов PyPI (Python Package Index) обнаружены вредоносные пакеты «python3-dateutil» и «jeIlyfish», которые были загружены одним автором olgired2017 и маскировались под популярные пакеты «dateutil» и «jellyfish» (отличается использованием символа «I» (i) вместо «l» (L) в названии). После установки указанных пакетов на сервер злоумышленника отправлялись найденные в системе ключи шифрования и конфиденциальные данные пользователя. В настоящее время проблемные пакеты уже удалены из каталога PyPI.

Непосредственно вредоносный код присутствовал в пакете «jeIlyfish», а пакет «python3-dateutil» использовал его в качестве зависимости. Названия были выбраны из расчёта на невнимательных пользователей, допускающих опечатки при поиске (тайпсквоттинг). Вредоносный пакет «jeIlyfish» был загружен около года назад — 11 декабря 2018 года и оставался незамеченным. Пакет «python3-dateutil» был загружен 29 ноября 2019 года и через несколько дней вызвал подозрение у одного из разработчиков. Информация о числе установок вредоносных пакетов не приводится.

Пакет jellyfish включал в себя код, загружающий список «хэшей» из внешнего репозитория на базе GitLab. Разбор логики работы с этими «хэшами» показал, что они содержат скрипт, закодированный при помощи функции base64 и запускаемый после декодировки. Скрипт находил в системе ключи SSH и GPG, а также некоторые типы файлов из домашнего каталога и учётные данные для проектов PyCharm, после чего отправлял их на внешний сервер, запущенный в облачной инфраструктуре DigitalOcean.

Источник: OpenNet.

Подписываетесь на соц-сети:

Оценка:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд
(Пока оценок нет)
Загрузка...

Поделится:

Также рекомендую: