O desenvolvedor alemão Lukas Martini encontrou pacotes Python maliciosos no repositório PyPI. Confira os detalhes entenda melhor esse incidente.
PyPI é uma coleção de softwares criados e compartilhados pela comunidade Python para ajudar os desenvolvedores em seus projetos.
Infelizmente, duas versões maliciosas de dois pacotes Python foram introduzidas no PyPI Package Index (PyPI) com o objetivo de roubar chaves SSH e GPG dos projetos dos desenvolvedores do Python.
Um deles, usando o typosquatting para representar uma biblioteca legítima, resistiu por cerca de um ano no repositório. O outro sobreviveu por apenas alguns dias.
Pacotes Python maliciosos no repositório PyPI foram descobertos por desenvolvedor
A biblioteca falsa que passou menos tempo disponível no PyPI disponível com o nome ‘python3-dateutil’, uma representação clara do pacote ‘dateutil‘ com extensões para o módulo de data e hora padrão do Python.
Ele não incluía códigos perigosos, mas continha importações de um pacote chamado ‘jeIlyfish‘ (o primeiro ‘L’ é na verdade um ‘I’), uma versão falsa da biblioteca ‘medusa’ “para fazer correspondências aproximadas e fonéticas das cordas”.
Essa biblioteca falsa baixada de um repositório no código oculto do GitLab que coletava chaves SSH e GPG junto com uma lista de diretórios no sistema comprometido e as entregava ao invasor.
- Como instalar o jogo TuxScape no Linux via Flatpak
- Como instalar o jogo Advanced Strategic Command no Linux via Flatpak
- Como instalar o emulador de PlayStation 1 ePSXe no Linux via Snap
- Como instalar o jogo Bug Bounty no Linux via Snap
Até domingo, o mau ‘jeIlyfish’ estava presente no PyPI desde 11 de dezembro de 2018.
As duas bibliotecas foram descobertas em 1º de dezembro pelo desenvolvedor alemão Lukas Martini, que as denunciou à equipe de segurança do Python.
A ação para removê-los ocorreu algumas horas depois.
Os dois pacotes inválidos descobertos no PyPI foram adicionados com o mesmo nome de desenvolvedor, olgired2017. Eles funcionaram como originais, exceto pelo código malicioso, para que os desenvolvedores que os usassem não percebessem diferença.
Qualquer pessoa que use ‘dateutil’ e ‘medusa’ em seus projetos deve verificar se importou ou baixou os pacotes corretos.
Se os clones maliciosos foram usados, é altamente recomendável alterar as chaves GPG e SSH para projetos desenvolvidos desde pelo menos 11 de dezembro de 2018.
O que está sendo falado no blog
No Post found.
Post Views: 442