Поддельные пакеты в официальном репозитории Python, загруженные примерно 5,000 раз, содержали секретный код, который устанавливал на зараженные машины программное обеспечение для майнинга, обнаружил исследователь безопасности.
Вредоносные пакеты, которые были доступны в репозитории PyPI, во многих случаях использовали имена, имитирующие имена популярных пакетов, сообщил Акс Шарма, исследователь из фирмы безопасности Sonatype. Вредоносные библиотеки использовали атаки типа typosquatting (например, использовали имена mplatlib или maratlib вместо нормального matplotlib).
Шарма сказал, что он обнаружил шесть пакетов, в которых существовало программное обеспечение для майнинга криптовалют. Все шесть были опубликованы кем-то под именем пользователя PyPI nedog123, в некоторых случаях еще в апреле.
Вредоносный код содержался в файле setup.py каждого из этих пакетов. Он заставляет зараженные компьютеры использовать криптомайнер ubqminer или T-Rex для добычи цифровых монет.
Это не первый раз, когда хакеры атакуют пакеты или библиотеки. В прошлом году пакеты, загруженные тысячи раз с RubyGems, устанавливали вредоносное ПО, которое пыталось перехватить биткойн-платежи. За два года до этого кто-то сделал бэкдор для библиотеки с 2 миллионами пользователей, размещенной в NPM. С 2019 года Sonatype отследила более 12,000 вредоносных пакетов NPM.