Каждый месяц появляются новости о том, что в репозиториях PyPI, npm, RubyGems выявляются и удаляются вредоносные пакеты, крадущие AWS‑токены, данные платежных карт, браузерные пароли и другую чувствительную информацию. Кажется, что опенсорс‑проекты — отличная площадка для того, чтобы ИБ‑вендоры демонстрировали силу своих решений в области безопасной разработки. Поэтому вредоносное программное обеспечение не должно надолго оставаться незамеченным. Но все ли хорошо на самом деле?

В рамках данного исследования, которое началось в феврале 2022 года, было обнаружено более сотни пакетов на PyPI, которые тем или иным способом скрылись от взора других исследователей безопасности. При этом старейший пакет датируется июлем 2018 года. В докладе рассказывается, чем представлены трояны на Python, какие методы сокрытия они используют и как работает система их обнаружения.