Het Computer Security Incident Response Team van de Slowaakse overheid (SK-CSIRT) heeft in de Python Package Index (PyPI), de officiële locatie voor Python-software, verschillende kwaadaardige packages ontdekt. Python is een populaire programmeertaal en PyPI bevat allerlei software die door de Python-gemeenschap is ontwikkeld.
Aanvallers hebben verschillende bekende Python-packages gekopieerd en voorzien van kwaadaardige code, om de packages vervolgens onder iets andere namen aan te bieden. De kwaadaardige packages hebben de volgende namen: acqusition, apidev-coop, bzip, crypt, django-server, pwd, setup-tools, telnet, urlib3 en urlib. De code die aan de kwaadaardige packages is toegevoegd zorgt ervoor dat de naam en versie van de software, gebruikersnaam van de gebruiker die de software installeert en hostname naar een remote server worden gestuurd.
Volgens het SK-CSIRT is het succes van de aanval afhankelijk van de nalatigheid van de ontwikkelaar of systeembeheerder die de naam van de software niet goed controleert. Daarnaast wordt de aanval vereenvoudigd door de "pip" tool, een package-manager waarmee Python-software eenvoudig kan worden geïnstalleerd. Deze tool vereist geen cryptografische handtekening en kan tijdens de installatie willekeurige code uitvoeren. Ook is het eenvoudig om willekeurige code aan PyPI toe te voegen, dat geen goede kwaliteitscontrole heeft, aldus SK-CSIRT.
Na te zijn ingelicht hebben de beheerders van PyPI de kwaadaardige packages verwijderd. Dit zorgt er echter niet voor dat ze van de servers worden verwijderd waar ze al zijn geïnstalleerd. Het SK-CSIRT heeft een aantal stappen beschreven waarmee Python-ontwikkelaars eenvoudig kunnen controleren of ze de kwaadaardige packages hebben geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.