Киберпреступник использовал Python-библиотеки для кражи SSH- и GPG-ключей
Киберпреступник использовал Python-библиотеки для кражи SSH- и GPG-ключей
Чтобы оставить комментарий, необходимо войти
Комментарий от darask
Эти библиотеки созданы программистом, работающим под ником olgired2017. Они выдавали себя за другие библиотеки, которые более частоиспользуемы. Это осуществлялось с помощью механизма typosquatting для создания похожих имен. Первая библиотека — «python3-dateutil», выдавала себя за популярную библиотеку «dateutil», а вторая — «jeIlyfish», маскировалась под библиотеку «jellyfish».
Эксперт, нашедший эти библиотеки, сообщил, что вредоносный код имелся только в библиотеке jeIlyfish. Пакет python3-dateutil не имел своего вредоносного кода, но при этом импортировал библиотеку jeIlyfish.
Один из создателей библиотеки «dateutil» Пол Ганссл (Paul Ganssle) пояснил: «Программный код в библиотеке «jeIlyfish» скачивает файл с названием «hashsum», предназначение которого на первый взгляд непонятно, из репозитория GitLab, потом декодирует его в Python-файл и запускает. Далее этот файл пробует получить SSH- и GPG-ключи с ПК жертвы и отослать их злоумышленнику».
Мартини оповестил создателей dateutil и отдел безопасности PyPI, и опасные библиотеки были оперативно убраны. Библиотека python3-dateutil была сделана и опубликована в PyPI за 2 дня до удаления, а jeIlyfish была в каталоге практически год — с 11 декабря прошлого года.