Две библиотеки в каталоге PyPI год воровали ключи из проектов разработчиков

Из каталога Python-пакетов PyPI удалены две вредоносные библиотеки, которые крали ключи SSH и GPG из проектов разработчиков, пишет Bleeping Computer.

Оба пакета были загружены одним автором под ником olgired2017. Для обмана он использовал технику тайпсквоттинга, то есть называл зловреды максимально близко к подлинным библиотекам, заменяя несколько похожих символов. Пакеты jeIlyfish (здесь первая «l» на самом деле прописная «i») и python3-dateutil были замаскированы под популярные легитимные jellyfish и dateutil.

Первый оставался незамеченным почти год — он был загружен 11 декабря 2018-го. Второй, опубликованный 29 ноября, вычислили за несколько дней.

jellyfish содержал вредоносный код, который загружал из внешнего GitLab-репозитория файл hashsum для кражи ключей и директорий, а также отправлял их на хакерский сервер. python3-dateutil только импортировал этот пакет.

Клоны 1 декабря обнаружил немецкий разработчик Лукас Мартини, о чём уведомил команду безопасности Python. Спустя несколько часов они были удалены.