Sonatype виявила шкідливі пакети в каталозі PyPI
Sonatype виявив шкідливі пакети в каталозі PyPI
У каталозі PyPI виявлено кілька пакетів, які включають в себе код для прихованого Майнінг криптовалюта. Проблеми були присутні в пакетах maratlib, maratlib1, matplatlib-plus, mllearnlib, mplatlib і learninglib, назви яких були обрані схожими за написанням з популярними бібліотеками (matplotlib) з розрахунком на те, що користувач помилиться при написанні і не помітить ніяких відмінностей (typsquatting). Пакети були поміщені в квітні під рахунок nedog123 і за два місяці в цілому були завантажені близько 5 тисяч разів.
Шкідливий код поміщали в бібліотеку маратлібів, яка використовувалася в інших пакетах у вигляді залежності. Шкідливий код був прихований за допомогою власного механізму обфускації, який не визначається типовими утилітами, і виконувався при виконанні скрипта збірки setup.py виконаний при установці пакета. З налаштування.py був завантажений з GitHub і запустив bash script aza.sh, який в свою чергу завантажував і запускав додатки для майнінгу криптовалюта Ubqminer або T-Rex.
Sonatype виявив шкідливі друкарські пакети, що проникають в репозиторій PyPI, які таємно витягують криптомінери на уражених машинах.
Ці пакети PyPI перераховані нижче, разом набравши майже 5,000 завантажень:
- маратліб
- маратліб1
- матплатліб-плюс
- mllearnlib
- mplatlib
- learninglib
Всі вони були розміщені одним і тим же автором ( «nedog123») на PyPI, деякі вже в квітні цього року.
Ці підроблені компоненти були виявлені автоматизованою системою виявлення шкідливих програм Sonatype, Release Integrity, яка є частиною нашого рушія Nexus Intelligence наступного покоління.