В официальный репозиторий Python попал «вредоносный» код

22 сентября 2017, 11:19

Отдельные пакеты кода в официальном репозитории Python на протяжении трёх месяцев содержалили модифицированные скрипты установки, сообщает Ars Technica.

Читать далее 

Пакеты с изменённым кодом были загружены в Python Package Index (PyPI). 

Злоумышленники присвоили фальшивым пакетам имена, похожие на используемые в стандартной библиотеке Python (к примеру, urllib вместо urlib). Они содержали тот же код, что и «настоящие» библиотеки, за исключением изменённых скриптов установки. Правда, «фальшивый» код был вполне безвредным.

«Многие разработчики могли загрузить модифицированные пакеты, не подозревая об этом. Есть основания полагать, что фальшивки распространялись с июня 2017-го по сентябрь 2017 года», — сообщают специалисты словацкого Центра национальной безопасности, обнаружившие проблему.

Именно словаки уведомили администраторов PyPI о несанкционированной активности, после чего все идентифицированные поддельные пакеты были немедленно удалены.

Словацкие специалисты по безопасности опубликовали набор команд, которые можно использовать для выполнения проверки. В случае обнаружения заражённых пакетов их стоит немедленно заменить на оригинальные.

После появления информации о проблемах в PyPI двое исследователей сообщили, что им удалось «скормить» PyPI с более чем 20 библиотек, входящими в стандартную библиотеку Python. Как и неизвестные злоумышленники, они изменили файлы установки и внедрили в них скрипт, который заставлял разработчиков ненадолго подключиться к серверу и «отмечаться» на нём. Только в течение двух дней пакеты загрузили почти 7 тысяч раз.

Обсуждение