اكتشف الباحثون عددًا من حزم Python الخبيثة في مستودع برامج الطرف الثالث الرسمي والتي تم تصميمها لاستخراج بيانات اعتماد AWS ومتغيرات البيئة إلى نقطة نهاية مكشوفة للجمهور.

تتضمن قائمة الحزم وحدات loglib و pyg-modules و pygrata و pygrata-utils و hkg-sol-utils، وفقًا لباحث الأمان في Sonatype Ax Sharma. تم الآن إزالة الحزم وكذلك نقطة النهاية.

قال شارما: "تحتوي بعض هذه الحزم إما على رمز يقرأ أسرارك ويخفيها أو يستخدم أحد التبعيات التي ستؤدي المهمة" .

تسمح الشفرة الخبيثة التي تم إدخالها في "وحدات loglib" و "pygrata-utils" بحصاد بيانات اعتماد AWS ومعلومات واجهة الشبكة ومتغيرات البيئة وتصديرها إلى نقطة نهاية بعيدة: "hxxp: //graph.pygrata [.] com : 8000 / تحميل ".

بشكل مثير للقلق، لم يتم تأمين نقاط النهاية التي تستضيف هذه المعلومات في شكل مئات من ملفات TXT بواسطة أي حاجز للمصادقة ، مما يسمح بشكل فعال لأي طرف على الويب بالوصول إلى بيانات الاعتماد هذه.

من الجدير بالذكر أن الحزم مثل "pygrata" تستخدم إحدى الحزمتين المذكورتين أعلاه كتبعية ولا تحتوي على الكود نفسه. لا تزال هوية الجهة المهددة ودوافعها غير واضحة.

وتساءل شارما: "هل تم الكشف عن أوراق الاعتماد المسروقة عمدًا على الويب أم نتيجة لممارسات OPSEC السيئة؟" "إذا كان هذا نوعًا من اختبار الأمان المشروع، فمن المؤكد أنه لا يوجد الكثير من المعلومات في هذا الوقت لاستبعاد الطبيعة المشبوهة لهذا النشاط."

هذه ليست المرة الأولى التي يتم فيها اكتشاف حزم شريرة مماثلة في مستودعات مفتوحة المصدر. قبل شهر بالضبط، تم الكشف عن حزمتي Python و PHP ذات طروادة، تسمى ctx و phpass ، في حالة أخرى من هجوم سلسلة توريد البرمجيات.