У каталозі Python-пакетів PyPI (Python Package Index) виявлено шкідливі пакети

У каталозі Python-пакетів PyPI (Python Package Index) виявлено шкідливі пакети "python3-dateutil" та "jeIlyfish", які були завантажені одним автором olgired2017 і маскувались під популярні пакети "dateutil" та "jelly I" (i) замість "l" (L) у назві). Після встановлення зазначених пакетів на сервер зловмисника надсилалися знайдені в системі ключі шифрування та конфіденційні дані користувача. Наразі проблемні пакети вже видалені з каталогу PyPI.

Безпосередньо шкідливий код був присутній у пакеті "jeIlyfish", а пакет "python3-dateutil" використовував його як залежність. Назви були обрані з розрахунку на неуважних користувачів, які допускають помилки при пошуку (тайпсквоттінг). Шкідливий пакет "jeIlyfish" був завантажений близько року тому - 11 грудня 2018 року і залишався непоміченим. Пакет "python3-dateutil" був завантажений 29 листопада 2019 року і за кілька днів викликав підозру в одного з розробників. Інформація про кількість установок шкідливих пакетів не наводиться.

Пакет jellyfish включав код, що завантажує список "хешів" із зовнішнього репозиторію на базі GitLab. Розбір логіки роботи з цими "хешами" показав, що вони містять скрипт, закодований за допомогою функції base64 і запускається після декодування. Скрипт знаходив у системі ключі SSH та GPG, а також деякі типи файлів із домашнього каталогу та облікові дані для проектів PyCharm, після чого відправляв їх на зовнішній сервер, запущений у хмарній інфраструктурі DigitalOcean.

Інші новини