Pacotes Python maliciosos no repositório PyPI foram descobertos por desenvolvedor

O desenvolvedor alemão Lukas Martini encontrou pacotes Python maliciosos no repositório PyPI. Confira os detalhes entenda melhor esse incidente.

PyPI é uma coleção de softwares criados e compartilhados pela comunidade Python para ajudar os desenvolvedores em seus projetos.

Pacote Python malicioso disponível no repositório PyPI por um ano

Infelizmente, duas versões maliciosas de dois pacotes Python foram introduzidas no PyPI Package Index (PyPI) com o objetivo de roubar chaves SSH e GPG dos projetos dos desenvolvedores do Python.

Um deles, usando o typosquatting para representar uma biblioteca legítima, resistiu por cerca de um ano no repositório. O outro sobreviveu por apenas alguns dias.

Pacotes Python maliciosos no repositório PyPI foram descobertos por desenvolvedor

A biblioteca falsa que passou menos tempo disponível no PyPI disponível com o nome ‘python3-dateutil’, uma representação clara do pacote ‘dateutil‘ com extensões para o módulo de data e hora padrão do Python.

Ele não incluía códigos perigosos, mas continha importações de um pacote chamado ‘jeIlyfish‘ (o primeiro ‘L’ é na verdade um ‘I’), uma versão falsa da biblioteca ‘medusa’ “para fazer correspondências aproximadas e fonéticas das cordas”.

Essa biblioteca falsa baixada de um repositório no código oculto do GitLab que coletava chaves SSH e GPG junto com uma lista de diretórios no sistema comprometido e as entregava ao invasor.


Até domingo, o mau ‘jeIlyfish’ estava presente no PyPI desde 11 de dezembro de 2018.

As duas bibliotecas foram descobertas em 1º de dezembro pelo desenvolvedor alemão Lukas Martini, que as denunciou à equipe de segurança do Python.

A ação para removê-los ocorreu algumas horas depois.

Os dois pacotes inválidos descobertos no PyPI foram adicionados com o mesmo nome de desenvolvedor, olgired2017. Eles funcionaram como originais, exceto pelo código malicioso, para que os desenvolvedores que os usassem não percebessem diferença.

Qualquer pessoa que use ‘dateutil’ e ‘medusa’ em seus projetos deve verificar se importou ou baixou os pacotes corretos.

Se os clones maliciosos foram usados, é altamente recomendável alterar as chaves GPG e SSH para projetos desenvolvidos desde pelo menos 11 de dezembro de 2018.

O que está sendo falado no blog

No Post found.

Sair da versão mobile