Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

1 комментарий
Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Из каталога Python-пакетов PyPI удалены две вредоносные библиотеки, которые крали ключи SSH и GPG из проектов разработчиков, пишет Bleeping Computer.

Оба пакета были загружены одним автором под ником olgired2017. Для обмана он использовал технику тайпсквоттинга, то есть называл зловреды максимально близко к подлинным библиотекам, заменяя несколько похожих символов. Пакеты jeIlyfish (здесь первая «l» на самом деле прописная «i») и python3-dateutil были замаскированы под популярные легитимные jellyfish и dateutil.

Первый оставался незамеченным почти год — он был загружен 11 декабря 2018-го. Второй, опубликованный 29 ноября, вычислили за несколько дней.

jellyfish содержал вредоносный код, который загружал из внешнего GitLab-репозитория файл hashsum для кражи ключей и директорий, а также отправлял их на хакерский сервер. python3-dateutil только импортировал этот пакет.

Клоны 1 декабря обнаружил немецкий разработчик Лукас Мартини, о чём уведомил команду безопасности Python. Спустя несколько часов они были удалены.


Свежая подборка вакансий для python-разработчиков.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Горячие события

IT-миграция в ЕС - 2020
24 ноября — 25 ноября

IT-миграция в ЕС - 2020

Dell Technologies Forum CEE
26 ноября

Dell Technologies Forum CEE

HRgile.club
2 декабря

HRgile.club

Минск

Читайте также

Стали известны 7 самых популярных у американских работодателей языков программирования
Стали известны 7 самых популярных у американских работодателей языков программирования
Стали известны 7 самых популярных у американских работодателей языков программирования
Создатель Python  Гвидо ван Россум присоединился к Microsoft
Создатель Python Гвидо ван Россум присоединился к Microsoft
Создатель Python Гвидо ван Россум присоединился к Microsoft
Хакерам удалось украсть доступ к крупному Telegram-каналу
Хакерам удалось украсть доступ к крупному Telegram-каналу
Хакерам удалось украсть доступ к крупному Telegram-каналу
16 бесплатных айтишных курсов от MIT
16 бесплатных айтишных курсов от MIT
16 бесплатных айтишных курсов от MIT

Обсуждение

0

Заканчивался 2019 год, а весь фишинг-хакинг всё ещё на уровне поменять символ, и это работает

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже