O time de Segurança do Python removeu duas libs do PyPI (Python Package Index). Após análise relatada por um desenvolvedor em 1 de Dezembro, a equipe encontrou indícios de que as duas bibliotecas estavam roubando chaves GPG e SSH de projetos infectados.
Ambas libs foram criadas pelo mesmo desenvolvedor e nomeadas usando uma técnica de typosquatting para registrar com nomes bem similares à outras bem populares. A primeira identificada foi a python3-dateutil que se remete diretamente à biblioteca dateutil. A segunda foi com o nome jeIlyfish (Sendo o primeiro L um I), que remete à biblioteca jellyfish.
Desenvolvedores foram avisados sobre o problema para que revisem seus projetos uma vez que o fato da técnica usada tem por finalidade enganar pela similaridade de nomes. Caso o projeto tenha sido infectado o responsável deve imediatamente alterar suas chaves SSH e GPG que eram utilizadas até o ano passado.
Em um passado recente a equipe do PyPI executou ações parecidas quando encontraram bibliotecas maliciosas de Python nos repositórios oficiais com incidentes acontecidos em Julho de 2019, Outubro de 2018 e Setembro de 2017.
Edited by halencarjunior
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.