PyPI verwijdert malafide Python libraries die achterdeurtjes op Linux installeren

De officiële Python Package Index (PyPI) heeft drie malafide Python libraries verwijderd. Beveiligingsbedrijf ReversingLabs ontdekte dat de libraries een verborgen achterdeur bevatten, die geactiveerd werd als de libraries op Linux-systemen geïnstalleerd werden.

De drie pakketen – libpeshnx, libpesh en libari – werden door dezelfde gebruiker genaamd ruri12 geschreven, en waren al sinds november 2017 te downloaden, schrijft ZDNet. ReversingLabs ontdekte de packages eerder deze maand. PyPI verwijderde ze op 9 juli, dezelfde dag dat ze op de hoogte werden gesteld van het probleem.

Wat de pakketjes precies moesten doen – naast het infecteren van systemen – is niet duidelijk. De packages hadden namelijk geen beschrijving. De statistieken van PyPI tonen echter wel aan dat ze regelmatig werden gedownload. Iedere library werd maandelijks tientallen keren geïnstalleerd.

De malafide code was een simpel achterdeurmechanisme zich alleen activeerde als het op Linux-systemen werd geïnstalleerd. Er is ook een installatieprocedure die het draaien van de achterdeur geautomatiseerder maakt.

Volgens ReversingLabs is de achterdeur een interactieve shell die aanvallers kunne hebben gebruikt om te verbinding te maken met de geïnfecteerde computers en hierop commando’s uit te voeren.

Toen ReversingLabs de drie libraries ontdekte, was de achterdeur alleen actief in de libpeshnx library. De andere twee packages bevatten echter wel referenties naar de malafide functie, zonder enige code. Het lijkt er dus op dat de maker het had verwijderd of zich voorbereidde om de versies met achterdeur uit te rollen.

De gebruiker die achter de drie malafide pakketjes zat, was ook de echte eigenaar van de account die de libraries had geplaatst. Tomislav Pericin, Chief Software Architect en oprichter van ReversingLabs, stelt dat de account niet was gecompromitteerd.

“De gebruiker uploadde de pakketjes met het duidelijke doel om ontwikkelaars te misleiden om het in hun code tegebruiken. Zodra het werd uitgevoerd, kon de code de bron worden van de inbraak.”

De malafide libraries werden gevonden nadat de beveiligingsonderzoekers de gehele PyPI repository scande op verdachte in Python libraries verborgen bestanden. Het gaat bijvoorbeeld om de PE- en EXE-formats.