Pythonのパッケージインデックス(は、PyPIは)でSSHとGPGキーのPython開発者からアイテムを盗むことを目的とPythonの悪意のあるソフトウェアパッケージの2つのバージョンを導入しました。
PyPI Pythonコミュニティが作成されたアプリケーション・センターに似たソフトウェアのセットを、共有されています。
法律上のライブラリをシミュレートするため、悪意のあるサイバースクワッティングを使用して、ライブラリの一つは、その名前は、標準のPythonのdatetimeモジュールで拡張「のpython3-dateutil」、「dateutil」このパッケージの模造品、です。
python3-dateutil自体が危険なコードが含まれていますが、「クラゲ」ライブラリのバージョンを偽造したインポートの名前「jeIlyfish」(最初の「L」が実際にあることに注意してください「I」)のパッケージ文を、含まれていません。偽のライブラリは、SSHやGPGキーで収集するコードだけでなく、感染したシステム上のディレクトリのリストが混乱して、攻撃者に送信GitLab倉庫からダウンロードされます。
2018年12月11日以来、は、PyPIは、悪質な "jeIlyfish" がありました。
12月1日にドイツの開発者ルーカス・マティーニは、ライブラリの両方見つけ 、Pythonとセキュリティチームの報告書を、数時間後に、チームはそれを削除する措置を講じます。
そして「クラゲ」開発者の「dateutil」の使用を思い出させる、私たちは、インポートまたは間違ったパッケージをダウンロードしたかどうかを確認する必要があります。