Δύο κακόβουλες βιβλιοθήκες Python, οι οποίες ανακαλύφθηκε ότι έκλεβαν SSH και GPG κλειδιά από έργα προγραμματιστών, έχουν αφαιρεθεί από το PyPI (Python Package Index).
Οι δύο βιβλιοθήκες ήταν δημιούργημα ενός προγραμματιστή και μιμούνταν άλλες δημοφιλείς βιβλιοθήκες της Python, ενώ ο δημιουργός τους χρησιμοποίησε και την τεχνική typosquatting για να καταχωρήσει ομώνυμα ονόματα.
Η μία βιβλιοθήκη, ονόματι “python3-dateutil”, μιμούνταν τη δημοφιλή “dateutil”, ενώ η δεύτερη, η “jeIlyfish” (το πρώτο L είναι ένα κεφαλαίο i), μιμούνταν την “jeIlyfish”.
Ο Γερμανός προγραμματιστής Lukas Martini ήταν αυτός που ανακάλυψε τα κακόβουλα αντίγραφα την περασμένη Κυριακή και ειδοποίησε την ομάδα ασφαλείας της Python, η οποία αφαίρεσε άμεσα τα βιβλιοθήκες.
Ενώ η python3- dateutil δημιουργήθηκε και μεταφορτώθηκε στο PyPI μόλις δύο ημέρες πριν ανακαλυφθεί, η βιβλιοθήκη jeIlyfish ήταν διαθέσιμη για σχεδόν ένα χρόνο, από τις 11 Δεκεμβρίου 2018.
Όπως ανέφερε ο Martini, κακόβουλος κώδικας εντοπίστηκε μόνο στην βιβλιοθήκη jellyfish. Η πιο πρόσφατη python3- dateutil δεν περιείχε η ίδια κακόβουλο λογισμικό, αλλά βοηθούσε στην εγκατάσταση της jellyfish.
Ο κώδικας έκανε download μια λίστα με κατακερματισμένα αρχεία που ήταν αποθηκευμένα σε ένα αποθετήριο GitLab. Η φύση και ο σκοπός αυτών των αρχείων ήταν αρχικά άγνωστος, καθώς ούτε ο Martini, αλλά ούτε και η ομάδα του PyPI δεν είχαν αναλύσει σε βάθος τη συμπεριφορά τους, πριν την οριστική απομάκρυνση τους.
Και οι δύο κακόβουλες βιβλιοθήκες μεταφορτώθηκαν στο PyPI από τον ίδιο προγραμματιστή, ο οποίος χρησιμοποιούσε το όνομα χρήστη olgired2017.
Όπως πιστεύεται, ο προγραμματιστής δημιούργησε το αντίγραφο για να εκμεταλλευτεί την δημοτικότητα της βιβλιοθήκης της Python ώστε να μπορέσει να διαδώσει τον κακόβουλο κώδικα σε μεγαλύτερη εμβέλεια. Όμως αυτό που κατάφερε τελικά, ήταν να τραβήξει περισσότερη προσοχή πάνω της με αποτέλεσμα να αποκαλυφθεί.
Οι δύο βιβλιοθήκες, ήταν πιστά αντίγραφα των κανονικών και αν εξαιρέσουμε τον κακόβουλο κώδικα, λειτουργούσαν με τον ίδιο ακριβώς τρόπο.
Εξαιτίας των ομοιοτήτων τους, οι προγραμματιστές που κατέβασαν αυτές τις βιβλιοθήκες στα έργα τους, θα πρέπει να ελέγξουν τις ονομασίες τους, για να δουν αν έχουν κατεβάσει κατά λάθος τα αντίγραφα.
Αν ισχύει κάτι τέτοιο θα πρέπει να αλλάξουν όλα τα κλειδιά SSH και GPG που έχουν χρησιμοποιήσει τον τελευταίο χρόνο.
Δεν είναι η πρώτη φορά που η ομάδα του PyPI αναγκάζεται να αντιμετωπίσει κλώνους βιβλιοθηκών Python. Παρόμοια περιστατικά συνέβησαν και το Σεπτέμβριο του 2017, τον Οκτώβριο του 2018 και τον Ιούλιο του 2019.
