Недавно эксперты обнаружили личные данные пользователей PyPI в пакетах из библиотеки. Судя по всему, в репозитории появилось сразу несколько вредоносных пакетов. Как установили эксперты, библиотеки бессовестно украли конфиденциальную информацию пользователей. Причем, все похищенные данные мог посмотреть любой желающий. Потому как находились они в обычных текстовых документах. Специалисты, преподающие CCNA Cyber Ops Варшава, попытались разобраться в происходящем.
Что такое PyPI, CCNA Cyber Ops Варшава
Начать необходимо с того, что в целом из себя представляет Python Package Index (PyPI). Это каталог пакетов Python, то есть программного обеспечения, написанного на этом языке. То есть по сути этой большой репозиторий, в котором хранится огромное количество различных библиотек. Прототип PyPI появился еще в 2000 году и постепенно развивался. Полгода назад репозиторий насчитывал около 350 тысяч пакетов. При этом многие специалисты, окончившие Cisco CCNA Cyber Ops Варшава, утверждают, что безопасность в PyPI находится на низком уровне.
Прежде всего пользователи PyPI самостоятельно регистрируют в библиотеках свои пакеты. При регистрации каждому пакету присваивается уникальные метаданные. Однако автором может стать любой желающий, тогда как проверки содержимого пакетов нет. При этом сам PyPI является основным источником пакетов для разработчиков на Python. То есть в репозиторий довольно легко загрузить вредоносный пакет. Который в будущем может даже попасть в код приложения и нанести ущерб пользователям. Но, как оказалось, сами разработчики тоже находятся в опасности.
Что произошло с пакетами на PyPI
В последнее время все чаще стали поступать жалобы пользователей на библиотеки PyPI. Поэтому эксперты организовали масштабную проверку и попытались выяснить причину массового недовольства пользователей. Оказалось, что на PyPI действительно есть множество различных проблем. И, судя по всему, присутствуют они там достаточно давно. А значит есть риск, что вредоносные пакеты уже попали в некоторые готовые приложения, написанные на Python. Безусловно, перед релизом каждый цифровой продукт проходит множество проверок. Но всегда существует опасность, что специалисты упустят какую-то небольшую часть огромного кода. Поэтому аналитики, окончившие Cisco CCNA Security Варшава, рекомендуют проверять пакеты перед их применением.
Как специалисты и поступили, в результате чего обнаружили сразу пять вредоносных пакетов:
- pygrata;
- pyg-modules;
- hkg-sol-utils;
- loglib-modules;
- pygrata-utils.
Часть из них копировала популярные пакеты из репозитория, но с небольшими нюансами. Такие уловки оставляют для невнимательных пользователей, которые не перепроверяют название каждого пакета. При этом аналитики поняли, что все пять пакетов имеют схожий код. И значит созданы были одним и тем же злоумышленником (или командой). При этом выполняли вредоносные пакеты разные функции. Например, два пакета активно воровали конфиденциальную информацию пользователей. В частности это касалось учетных данных (AWS), а также информации про сетевой интерфейс.
Безусловно, эксперты поспешили избавиться от всех найденных пакетов и удалить их из репозитория. Однако их обеспокоило количество и масштабы проблемы. Ведь вирусный код сохранял все ворованные данные в простой текстовый документ. Судя по всему, доступ к нему был у любого пользователя библиотеками. Потому аналитики попытались связаться с автором пакетов и узнать его мнение о случившемся. Но хозяин вредоносных файлов предпочел не отвечать на сообщения. Стоит отметить, что отыскать опасные файлы смогли эксперты, преподающие курсы кибербезопасности Cisco Варшава.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.