ESTA PUBLICAÇÃO É UM POUCO FORA DO COMUM EM QUE NÃO VOU EXPLICAR NENHUM TIPO DE COMANDO DIFERENTE EM PYTHON, MAS APRESENTAR-VOS UMA NOTÍCIA E UM AVISO PARA TODOS OS NAVEGANTES DA INTERNET!
A equipa de segurança do Python removeu duas bibliotecas mal-intencionadas do PyPI(índice de Pacotes Python, falado anteriormente onde se podem encontrar vários documentos partilhados pela comunidade, entre eles bibliotecas). Ambas as bibliotecas foram criadas pelo mesmo desenvolvedor, que utilizou uma técnica chamada typosquatting que serve para registar nomes com aparência semelhante, assim as bibliotecas criadas por ele tinham nomes parecidos com bibliotecas populares.
A primeira chamava-se jeilyfish (publicada a 11 de dezembro de 2018, QUASE 1 ANO!), que imitava a biblioteca jellyfish (que trabalha com strings); como a fonte do site é diferente desta, esta biblioteca era quase indistinguível visto que o 'i' inicial era quase idêntico a um 'l', como podemos ver na imagem abaixo.
A segunda chamava-se python3-dateutil (adicionada em 29 de novembro de 2019), que imitava a biblioteca dateutil (que falarei em publicações futuras que contem várias ferramentas úteis de controlo de tempo e datas).
As duas bibliotecas foram descobertas no dia 1 de dezembro, pelo desenvolvedor Lukas Martini e foram removidas no mesmo dia após notificar os desenvolvedores da dateutil e da equipa de segurança do PyPI.
pytho3-dateutil não continha código malicioso, mas importava a biblioteca jeilyfish que extraía as chaves SSH e GPG do computador de um utilizador e enviava as mesmas para este endereço IP: http://68.183.212.246:32258
Essas chaves serviriam para descobrir quais projetos as credenciais funcionavam para comprometer os mesmos.
Esta é a quarta vez que a equipa do PyPI tem de remover bibliotecas mal-intencionadas, ocorreu em setembro de 2017 (10 bibliotecas), outubro de 2018 (12 bibliotecas) e julho de 2019 (3 bibliotecas).
Referências:
- sempreupdate.com.br/duas-bibliotecas-python-mal-intencionadas-foram-capturadas-roubando-chaves-ssh-e-gpg ( imagem e informação: 10-12-2019)
- pypi.org/project/python-dateutil(10-12-2019)
- pypi.org/project/jellyfish(10-12-2019)
- pypi.org(10-12-2019)
- github.com(10-12-2019)
Sem comentários:
Enviar um comentário
Comente de forma construtiva...
Nota: só um membro deste blogue pode publicar um comentário.