idNSA.id - Satu library hanya tersedia selama dua hari, namun library kedua sudah ada selama hampir satu tahun.
Tim keamanan Python menghapus dua library Python trojanized dari PyPI (Python Package Index), repositori paket resmi.
Dikutip dari postingan ZDNet, kedua library itu dibuat oleh pengembang yang sama dan menirukan library lain yang lebih popular menggunakan teknik yang disebut typosquatting untuk mendaftarkan nama yang mirip.
Yang pertama adalah "python3-dateutil," yang meniru library "dateutil" yang populer. Yang kedua adalah "jeIlyfish" (L pertama adalah I), yang meniru library "jellyfish".
Dua klon malicious ditemukan pada hari Minggu, 1 Desember, oleh pengembang perangkat lunak Jerman Lukas Martini. Kedua library telah dihapus pada hari yang sama setelah Martini memberitahu dateutil developer dan tim keamanan PyPI.
Sementara python3-dateutil dibuat dan diunggah di PyPI dua hari sebelumnya, pada 29 November, library jeIlyfish telah tersedia selama hampir setahun, sejak 11 Desember 2018.
Menurut Martini, kode malicous hanya ada di library jeIlyfish. Kode tersebut diunduh dan dibaca list hash yang disimpan di repositori GitLab.
Sifat dan tujuan hash ini saat ini tidak diketahui, karena Martini atau tim PyPI tidak merinci perilaku ini secara mendalam sebelum library segera dihapus dari PyPI.
Paket python3-dateutil tidak mengandung kode malicious sendiri, tetapi ia mengimpor library jeIlyfish, artinya itu malicious dari asosiasi.
Kedua library diunggah di PyPI oleh developer yang sama, yang menggunakan nama pengguna olgired2017 - juga digunakan untuk akun GitLab.
Dipercayai bahwa olgired2017 menciptakan klon dateutil dalam upaya memanfaatkan popularitas library asli dan meningkatkan jangkauan kode malicious. Namun, ini juga membawa lebih banyak perhatian dari lebih banyak developer dan akhirnya berakhir dalam mengungkap seluruh operasinya.
Tidak termasuk kode malicious, kedua paket typosquatted adalah salinan identik dari library asli, yang berarti mereka akan berfungsi sebagai aslinya.
Developer yang tidak memperhatikan library yang mereka unduh atau impor ke dalam proyek mereka harus memeriksa untuk melihat apakah mereka telah menggunakan nama paket yang benar dan tidak sengaja menggunakan versi typo-squatted.
Ini adalah ketiga kalinya tim PyPI melakukan intervensi untuk menghapus library Python malicious typo-squatted dari repositori resmi. Kejadian serupa telah terjadi pada September 2017 (sepuluh library), Oktober 2018 (12 library), dan Juli 2019 (tiga library).
Image: ZDNet
