Xakep #305. Многошаговые SQL-инъекции
Издание Bleeping Computer сообщает, что официальный репозиторий Python Package Index (PyPI) вновь засыпан спамерскими пакетами, названия которых заставляют вспомнить о торрент-трекерах и «варезных» сайтах. Многочисленные пакеты публикуются от лица уникальных учетных записей (по одному пакету на ученую запись), что затрудняет их удаление, равно как и эффективную борьбу со спамерскими аккаунтами.
Первым на проблему обратил внимание старший инженер-программист компании Sonatype Адам Бош (Adam Boesch), который случайно заметил в PyPI пакет, названный в честь популярного телесериала (wandavision), что показалось ему странным. Журналисты отмечают, что обычно подобные мусорные пакеты называются по шаблону watch-(название фильма)-2021-full-online-movie-free-hd, который хорошо знаком посетителям пиратских ресурсов.
Некоторым из этих пакетов уже несколько недель, но спамеры по сей день продолжают добавлять в PyPI новые. Изданию удалось обнаружить более 10 000 подобных пакетов, хотя эта оценка может оказаться неточной, и фактическое количество спама в PyPI, вероятно, несколько меньше.
Страницы таких подделок, как правило, содержат мешанину из ключевых слов, а также ссылки на стриминговые сайты, чья законность вызывает большие сомнения, например, https://besflix[.]com/movie/XXXXX/profile.html.Ниже можно увидеть, как выглядит стандартная страница спамерского пакета.
Помимо ключевых слов и ссылок пакеты также содержат файлы с функциональным кодом и информацией о его авторе, которые обычно взяты из других, легитимных пакетов PyPI. К примеру, пакет watch-army-of-the-dead-2021-full-online-movie-free-hd-quality содержал информацию об авторе и код из реального пакета jedi-language-server. Судя по всему, таким образом злоумышленники маскируют свой спам и стараются усложнить обнаружение такого мусора.
Напомню, что о мусорном контенте в PyPI и GitLab уже предупреждали в начале 2021 года. Тогда представители PyPI сообщали журналистам, что им известно о наблюдающейся волне спама, и администраторы уже работают над ее устранением. Судя по всему, пока администрация репозитория не преуспела в борьбе с такими злоупотреблениями.