Вредоносные пакеты способны похищать учетные данные AWS и другую конфиденциальную информацию.
https://www.securitylab.ru/upload/ib...81408cb0ad.png
ИБ-специалисты из компании Sonatype обнаружили несколько вредоносных пакетов в официальном репозитории PyPI. Они были разработаны для кражи учетных данных AWS и переменных окружения, а также отправки украденной информации на открытую конечную точку.
Список обнаруженных вредоносных пакетов выглядит так:<ul><li>loglib-modules – нацелен для разработчиков, использующих библиотеку loglib;</li>
</ul><ul><li>pyg-modules – нацелен для разработчиков, использующих библиотеку pyg;</li>
</ul><ul><li>pygrata – цель неизвестна;</li>
</ul><ul><li>pygrata-utils – цель неизвестна, но пакет содержит вредоносный код из 'loglib-modules';</li>
</ul><ul><li>hkg-sol-utils – цель неизвестна.</li>
</ul>Анализ пакетов 'loglib-modules' и 'pygrata-utils' выявил наличие вредоносного кода для кражи учетных данных и метаданных AWS и их загрузки на одну или несколько конечных точек, размещенных на домене PyGrata. Похищенные данные были публично доступны в виде сотен TXT-файлов.
"Наши исследователи заметили, что конечные точки, собирающие учетные данные, делали их доступными практически всем желающим", – говорится в отчете Sonatype.
Экспертам еще предстоит выяснить личность злоумышленника и его мотивацию.
После сообщения от специалистов, все вредоносные пакеты PyPI и конечная точка были удалены.
Ранее сообщалось про бэкдор в других пакетах PyPi. Простая опечатка в коде могла привести к утечке данных и захвату устройств тысяч пользователей.