Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

1 комментарий
Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Из каталога Python-пакетов PyPI удалены две вредоносные библиотеки, которые крали ключи SSH и GPG из проектов разработчиков, пишет Bleeping Computer.

Оба пакета были загружены одним автором под ником olgired2017. Для обмана он использовал технику тайпсквоттинга, то есть называл зловреды максимально близко к подлинным библиотекам, заменяя несколько похожих символов. Пакеты jeIlyfish (здесь первая «l» на самом деле прописная «i») и python3-dateutil были замаскированы под популярные легитимные jellyfish и dateutil.

Первый оставался незамеченным почти год — он был загружен 11 декабря 2018-го. Второй, опубликованный 29 ноября, вычислили за несколько дней.

jellyfish содержал вредоносный код, который загружал из внешнего GitLab-репозитория файл hashsum для кражи ключей и директорий, а также отправлял их на хакерский сервер. python3-dateutil только импортировал этот пакет.

Клоны 1 декабря обнаружил немецкий разработчик Лукас Мартини, о чём уведомил команду безопасности Python. Спустя несколько часов они были удалены.


Свежая подборка вакансий для python-разработчиков.

Хотите сообщить важную новость? Пишите в Телеграм-бот.

А также подписывайтесь на наш Телеграм-канал.

Читайте также

Python отметил 30 лет на выходных
Python отметил 30 лет на выходных
Python отметил 30 лет на выходных
США обвиняет хакеров из Северной Кореи в краже $1,3 млрд для правительства
США обвиняет хакеров из Северной Кореи в краже $1,3 млрд для правительства
США обвиняет хакеров из Северной Кореи в краже $1,3 млрд для правительства
1 комментарий
Хакеры продали исходный код Cyberpunk 2077
Хакеры продали исходный код Cyberpunk 2077
Хакеры продали исходный код Cyberpunk 2077
Выбирайте курсы Python от Udemy за $12,99 и начинайте обучение уже сегодня
Выбирайте курсы Python от Udemy за $12,99 и начинайте обучение уже сегодня
Выбирайте курсы Python от Udemy за $12,99 и начинайте обучение уже сегодня
Собрали курсы для тех, кто хочет освоить Python в максимально короткие сроки. Python один из самых популярных языков программирования. Его можно использовать как в машинном обучении, так и веб-разработке.

Обсуждение

0

Заканчивался 2019 год, а весь фишинг-хакинг всё ещё на уровне поменять символ, и это работает

Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже