Злоумышленники внедрили бэкдор в репозиторий Python

Национальная служба безопасности Словакии (Národný bezpečnostný úrad, NBU) выявила в каталоге PyPI десять вредоносных библиотек Python. PyPI (Python Package Index) – официальный каталог стороннего ПО для языка программирования Python.

По словам специалистов из NBU, злоумышленники использовали метод, известный как тайпосковоттинг. Для загрузки библиотек использовались имена, похожие на имена легитимных пакетов, но с «опечаткой», например, «urlib» вместо «urllib».

Загрузить вредоносные модули в каталог не составило труда, поскольку PyPI не выполняет проверок безопасности при загрузке новых пакетов. Библиотеки содержали тот же код, что и легитимные аналоги, поэтому их функциональные возможности были одинаковы, но в скрипт установки setup.py был добавлен вредоносный код, пояснили эксперты.

Вредоносный код собирал информацию о зараженных хостах, в частности имя и версию фальшивого пакета, имя пользователя, установившего библиотеку, и имя компьютера. Собранные данные отправлялись на удаленный сервер в Китае (IP-адрес 121.42.217.44). Вредоносный код был обнаружен в следующих библиотеках: acqusition, apidev-coop, bzip, crypt, django-server, pwd, setup-tools, telnet, urlib3,urllib. По словам экспертов, вредоносные библиотеки были активны в период с июня по сентябрь 2017 года и использовались в нескольких пакетах программного обеспечения. Более подробную информацию можно найти в отчете NBU.

Представители NBU связались с администраторами PyPI и сообщили о проблеме. В настоящее время все вредоносные библиотеки удалены из каталога.