Malicious Python packages download a latou mealilo mai le AWS luga ole laiga

Malicious Python packages download a latou mealilo mai le AWS luga ole laiga

Ua maua e tagata tomai faapitoa i le saogalemu le tele o pusa Python leaga e liaʻi ai faʻamatalaga maʻaleʻale tagata faʻaoga.

I se blog post (tatala i se lisi fou), Ax Sharma, Security Researcher i Sonatype, fai mai o afifi: loglib-modules, pyg-modules, pygrata, pygrata-utils, ma hkg-sol-utils leak mealilo o tagata faʻaoga, faʻapea e pei o fa'ailoga AWS. ma si'osi'omaga fesuia'i, ma utaina i se fa'aaliga fa'alaua'itele (tatala i se fa'ailoga fou).

O nisi, e pei ona taʻu mai e le igoa, ua taulaʻi tagata atiaʻe e masani i faletusi loglib ma pyg, ae o isi e le o iloa.

tagata osofa'i le iloa

Matou te le iloa tonu pe toafia tagata na faʻaalia a latou faʻamatalaga (tatala i se lisi fou), e ui lava na fai mai Sharma na maua e le au suʻesuʻe "le selau o faila TXT o loʻo i ai faʻamatalaga maaleale ma mea lilo."

Ina ia taofiofia le avanoa e suʻesuʻe ai se vaega o le puipuiga, na faʻafesoʻotaʻi e Sonatype tagata e ona le pygrata.com ae e leʻi faʻalogo mai ia i latou. E leʻi umi, ae maeʻa faila TXT i luga o le pito i tua, ma taʻitaʻia ai le au suʻesuʻe e manatu e tatau ona taofi e se tasi. E le gata i lea, o le loglib modules na vave aveese mai le upega tafaʻilagi, e ui lava i sina taimi puupuu.

Sa le mafai e Sonatype ona iloa po o ai le tagata taufaamata'u i tua atu o le osofaiga, po o le a le latou sini autu.

“Pe na fa'aalia ma le loto iai fa'ailoga na gaoia i luga o le upegatafa'ilagi (tatala i se lisi fou) pe na mafua mai i le le lelei o le fa'atinoga o le saogalemu?" o le fesili lea a Sharma. "Afai o se ituaiga o suʻega faʻatulafonoina o le puipuiga, e mautinoa lava e le tele ni faʻamatalaga i le taimi nei e faʻateʻaina ai uiga masalomia o lenei gaioiga."

E leʻi umi talu ona lipotia uma afifi faʻafitauli i le vaega saogalemu a le PyPI, na aveese uma, na faʻauʻu ai le kamupani.

Mai lea taimi i lea taimi, e maua ai e tagata suʻesuʻe ni afifi leaga i fale teu oloa tatala. I le amataga o lenei tausaga, na maua ai e le au suʻesuʻe ni pusa Python e lua ma PHP (ctx ma le phpass), lea na faʻaaogaina e pei o Trojans. Na iloa mulimuli ane o se tagata suʻesuʻe puipuiga a Turki, Yunus Aydin, sa i tua o afifi uma e lua, o se faʻataʻitaʻiga o le "faʻafefea ona aʻafia e lenei osofaʻiga tasi le sili atu i le 10 miliona tagata faʻaoga ma pisinisi."