Oficiální repozitář balíčků pro Python obsahoval falešné verze s malwarem
17.9.2017, Milan Šurkala, aktualita
Oficiální repozitář balíčků pro programovací jazyk Python byl napaden a nacházely se zde falešné softwarové balíčky obsahující malware. Uživatele chtěly zmást napodobováním jmen známých balíčků.
Python je dnes velmi oblíbený programovací jazyk. K rozšiřování jeho možností je podobně jako u většiny jiných programovacích jazyků možnost importovat další balíčky. Ty je možné stahovat z oficiálního repozitáře balíčků PyPl, nicméně na něm se objevily falešné verze, které obsahovaly vložený malware. Informaci o problému zveřejnil Národný bezpečnostný úrad (Slovensko).
Útočník se spoléhal na to, že uživatelé si omylem stáhnou jeho verzi s velmi podobným názvem jako mají originály (typosquatting). Pokud si tak někdo nedal pozor a nevšiml si drobných rozdílů ve jménech balíčků, paradoxně logičtějších názvů než u originálů nebo chybějících slov, jejichž absence nevypadala příliš podezřele, mohl stáhnout ten se zamýšlenou funkčností obohacenou však o malware. Konkrétně se jednalo o následující balíčky:
- acqusition (místo acquisition)
- apidev-coop (apidev-coop_cms)
- bzip (bz2file)
- crypt (crypto)
- django-server (django-server-guardian-api)
- pwd (pwdhash)
- setup-tools (setuptools)
- telnet (telnetsrvlib)
- urlib3 (urllib3)
- urllib (urllib3)
Naštěstí nešlo o nic závažného, malware jen po instalaci odeslal data v podobě jména balíčku, uživatelské jméno toho, kdo balíček nainstaloval a hostname tohoto počítače. Podle všeho to vypadá jen na zkoušku toho, jak by případně mohl být podobný útok rozsáhlý a kolik lidí se dalo napálit. Balíčky byly v repozitáři od června 2017 do září 2017 a nyní už jsou odstraněny.
Zdroj: nbu.gov.sk, theregister.co.uk
