Kwaadaardige packages verwijderd uit Python Package Index

Vorig jaar ontdekte het Computer Security Incident Response Team van de Slowaakse overheid (SK-CSIRT) diverse kwaadaardige packages die aan de PyPI waren toegevoegd.  Een onderzoeker genaamd Bertus ontdekte dat aanvallers opnieuw kwaadaardige packages hebben gecreëerd en toegevoegd aan de PyPI.

Hoe werken de kwaadaardige packages?

Als gebruikers bij het installeren van een package een typefout maakten, installeerden de kwaadaardige package zich. De packages voerden verschillende handelingen uit. Sommige injecteerden code in het bestand .bashrc andere stuurden een ping terug naar de server en één opende een reverse shell. Ook was er een package die probeerde om bitcoin adressen in het clipboard aan te passen. Dit zorgde ervoor dat als een slachtoffer een bitcoin transactie wilde uitvoeren het geld naar de verkeerde bitcoin wallet werd overgemaakt.

De eerste 11 kwaadaardige packages werden begin oktober ontdekt en verwijderd. De twaalfde kwaadaardige package, die bitcoin adressen in het clipboard aanpaste, werd al sinds december 2017 via PyPI aangeboden en op 22 oktober van dit jaar verwijderd.