Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

1 комментарий
Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Из каталога Python-пакетов PyPI удалены две вредоносные библиотеки, которые крали ключи SSH и GPG из проектов разработчиков, пишет Bleeping Computer.

Оба пакета были загружены одним автором под ником olgired2017. Для обмана он использовал технику тайпсквоттинга, то есть называл зловреды максимально близко к подлинным библиотекам, заменяя несколько похожих символов. Пакеты jeIlyfish (здесь первая «l» на самом деле прописная «i») и python3-dateutil были замаскированы под популярные легитимные jellyfish и dateutil.

Первый оставался незамеченным почти год — он был загружен 11 декабря 2018-го. Второй, опубликованный 29 ноября, вычислили за несколько дней.

jellyfish содержал вредоносный код, который загружал из внешнего GitLab-репозитория файл hashsum для кражи ключей и директорий, а также отправлял их на хакерский сервер. python3-dateutil только импортировал этот пакет.

Клоны 1 декабря обнаружил немецкий разработчик Лукас Мартини, о чём уведомил команду безопасности Python. Спустя несколько часов они были удалены.


Свежая подборка вакансий для python-разработчиков.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Читайте также

Microsoft уличила российских хакеров во вмешательстве в президентские выборы в США 2020 года
Microsoft уличила российских хакеров во вмешательстве в президентские выборы в США 2020 года
Microsoft уличила российских хакеров во вмешательстве в президентские выборы в США 2020 года
Хакеры взломали все версии Nintendo Switch. Метода защиты от взлома не существует
Хакеры взломали все версии Nintendo Switch. Метода защиты от взлома не существует
Хакеры взломали все версии Nintendo Switch. Метода защиты от взлома не существует
55% скидка на курс для Python-разработчиков
55% скидка на курс для Python-разработчиков
55% скидка на курс для Python-разработчиков
Онлайн-курс для тех, кто хочет с нуля освоить Python и стать разработчиком.
Сайт МВД Беларуси взломали
Сайт МВД Беларуси взломали
Сайт МВД Беларуси взломали
12 комментариев

Обсуждение

0

Заканчивался 2019 год, а весь фишинг-хакинг всё ещё на уровне поменять символ, и это работает

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже