De Python Package Index (PyPI) heeft na het ontdekken van een security bug duizenden kwaadaardige packages verwijderd. Concreet ging het hierbij om het gebruik van private en public registries.
PyPI wordt door Python-ontwikkelaars vaak gebruikt om software libraries van andere ontwikkelaars aan hun eigen projecten toe te voegen. Dit gebeurt op basis van vertrouwen, maar ontwikkelaars worden wel gevraagd iedere code die zij importeren vanuit een externe library te checken. Dit gebeurt niet altijd, waardoor soms hackers toch een kans krijgen. Kwaadaardige code kan zo makkelijk worden verspreid en hackers krijgen het vertrouwen dat zij niet verdienen.
Kwetsbaar voor kwaadaardige code
Recent werd aangetoond dat het makkelijk was om package managementsysteem als PyPI te gebruiken voor het verspreiden van kwaadaardige code. Hierbij werd de techniek typosquatting gebruikt, om de relatie tussen publieke en private package registries te gebruiken.
Verwijdering van 3.653 packages
Voor PyPI was dit een reden zijn repository door te lichten. Uiteindelijk werden in totaal 3.653 kwaadaardige packages verwijderd. Deze waren geüpload nadat een securityprobleem openbaar was gemaakt. Concreet ging het hierbij om een securityprobleem voor CuPy, een implementatie van NumPy-compatible multi-dimensional array of CUDA. Dit is het parallelle computingplatform van Nvidia.
De uploader onder de naam ‘RemindSupplyChainRisks’ wil ontwikkelaars op de hoogte stellen dat het heel eenvoudig is kwaadaardige code naar de repository te brengen.
10 uur geleden
