Sonatype виявив шкідливі пакети в каталозі PyPI

У каталозі PyPI виявлено кілька пакетів, які включають в себе код для прихованого Майнінг криптовалюта. Проблеми були присутні в пакетах maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib і learninglib, назви яких були обрані схожими за написанням з популярними бібліотеками (matplotlib) з розрахунком на те, що користувач помилиться при написанні і не помітить ніяких відмінностей (typsquatting). Пакети були поміщені в квітні під рахунок nedog123 і за два місяці в цілому були завантажені близько 5 тисяч разів.

Шкідливий код поміщали в бібліотеку маратлібів, яка використовувалася в інших пакетах у вигляді залежності. Шкідливий код був прихований за допомогою власного механізму обфускації, який не визначається типовими утилітами, і виконувався при виконанні скрипта збірки setup.py виконаний при установці пакета. З налаштування.py був завантажений з GitHub і запустив bash script aza.sh, який в свою чергу завантажував і запускав додатки для майнінгу криптовалюта Ubqminer або T-Rex.

Sonatype виявив шкідливі друкарські пакети, що проникають в репозиторій PyPI, які таємно витягують криптомінери на уражених машинах.

Ці пакети PyPI перераховані нижче, разом набравши майже 5,000 завантажень:

• маратліб
• маратліб1
• матплатліб-плюс
• mllearnlib
• mplatlib
• learninglib

Всі вони були розміщені одним і тим же автором ( «nedog123») на PyPI, деякі вже в квітні цього року.

Ці підроблені компоненти були виявлені автоматизованою системою виявлення шкідливих програм Sonatype, Release Integrity, яка є частиною нашого рушія Nexus Intelligence наступного покоління.