کمیته رکن چهارم– پژوهشگران امنیتی هشدار دادهاند که کدهای قدیمی موجود در برخی بستههای پایتون در شاخص PyPI میتوانند خطر تصاحب دامنه و اجرای کد مخرب را به همراه داشته باشند. آسیبپذیری مربوط به اسکریپتهای بوتاسترپ در ابزاری به نام zc.buildout است که از دامنهای منقضیشده برای بارگیری اسکریپت نصب استفاده میکند.
به گزارش کمیته رکن چهارم، اسکریپت bootstrap.py برای نصب خودکار پکیج Distribute، کدی را از دامنه python-distribute[.]org بارگیری میکند؛ دامنهای که اکنون در دسترس عموم قرار دارد و ممکن است بهراحتی توسط مهاجمان خریداری شود. در صورت تصاحب دامنه، مهاجم میتواند فایلهای مخرب را جایگزین کرده و از طریق نصب بستههای آسیبپذیر، کدهای دلخواه را روی سیستم کاربر اجرا کند.
بستههایی مانند tornado، slapos.core و roman هنوز شامل این اسکریپت آسیبپذیر هستند. گرچه اجرای خودکار آن با پایتون ۳ امکانپذیر نیست، وجود این فایلها همچنان سطح حملهای ناخواسته ایجاد میکند.
این افشاگری همزمان با کشف بستهای دیگر در PyPI به نام spellcheckers صورت گرفته که با وعده بررسی غلطهای املایی، در واقع کد مخرب اجرا میکند و یک RAT از طریق تابع exec() روی سیستم کاربر فعال میسازد. این بسته توسط کاربری با نام leo636722 در PyPI آپلود شده بود و ۹۵۵ بار دانلود شده است.
این یافتهها بار دیگر اهمیت حذف کدهای منسوخ و بررسی دقیق منابع خارجی در پروژههای متنباز را یادآوری میکند.
