Alerta de Vulnerabilidade - Bibliotecas Python

Foram identificados pacotes de bibliotecas contendo software malicioso no repositório oficial do Python (PyPI), fazendo-se passar por bibliotecas fidedignas, havendo apenas ligeiras alterações de nome.
Entre junho e setembro de 2017 existem indícios da utilização destas bibliotecas em alguns softwares.
O uso destas bibliotecas provoca exfiltração de informação relativamente ao utilizador e à máquina comprometida, enviando-a para o servidor remoto hxxp://[121].[42].[217].[44]:[8080]/.
É enviada a seguinte informação:
- Nome e versão do pacote malicioso instalado.
- Nome do utilizador que instalou o pacote.
- Nome da máquina em que o pacote foi instalado.

Exfiltração de informação relativamente ao nome utilizador e o nome da máquina comprometida.

Identificar e remover os pacotes comprometidos, sendo estes o seguintes:
– acqusition (uploaded 2017-06-03 01:58:01, fazendo-se passar por acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, fazendo-se passar por apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, fazendo-se passar por bz2file)
– crypt (uploaded 2017-06-03 08:03:14, fazendo-se passar por crypto)
– django-server (uploaded 2017-06-02 08:22:23, fazendo-se passar por django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, fazendo-se passar por pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, fazendo-se passar por setuptools)
– telnet (uploaded 2017-06-02 15:35:05, fazendo-se passar por telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, fazendo-se passar por urllib3)
– urllib (uploaded 2017-06-02 07:03:37, fazendo-se passar por urllib3)

Verificar cuidadosamente o nome do pacote de instalação da biblioteca pretendida em futuras instalações.

SK-CSIRT advisory:
- http://www.nbu.gov.sk/skcsirt-sa-20170909-pypi/