Mit <kes>+ lesen

27 bösartige PyPI-Pakete mit Tausenden von Downloads gefunden

Seit fast einem halben Jahr hat ein unbekannter Bedrohungsakteur Typosquat-Pakete (falsch benannte Programme/Bibliotheken) im PyPI (Python Package Index) veröffentlicht, um schädliche Software zu verbreiten. Diese Software kann sich festsetzen, persönliche Daten stehlen und auf Kryptowährungs-Wallets zugreifen, um ordentlich abzukassieren.

Bedrohungen
Lesezeit 3 Min.

Checkmarx hat in einem neuen Bericht festgestellt, dass 27 Pakete, die sich als populäre und legitime Python-Bibliotheken ausgaben, von Tausenden von Nutzern heruntergeladen wurden. Die meisten Downloads stammten aus den USA, China, Frankreich, Hongkong, Deutschland, Russland, Irland, Singapur, Großbritannien und Japan. Laut dem Unternehmen, das im Bereich Sicherheit für Software-Lieferketten aktiv ist, war ein herausragendes Merkmal dieses Angriffs die Verwendung von Steganografie. Damit wurde eine schädliche Nutzlast in einer unscheinbaren Bilddatei versteckt. So war der Angriff praktisch so gut wie nicht zu erkennen. Die Pakete nennen sich beispielsweise pyefflorer, pyminor, pyowler, pystallerer, pystob und pywool. Das letzte Paket wurde am 13. Mai 2023 eingeschleust.

Ein gemeinsamer Nenner dieser Pakete ist die Verwendung des setup.py-Skripts, um Verweise auf andere bösartige Pakete (im Wesentlichen pystob und pywool) mit einzubauen. Diese stellen ein Visual Basic Script (VBScript) bereit, um eine Datei namens „Runtime.exe“ herunterzuladen und auszuführen. Auf diese Weise konnten sich die Pakete auf dem jeweiligen Host festsetzen.

In die Binärdatei ist eine kompilierte Schad-Datei eingebettet, die in der Lage ist, Informationen von Webbrowsern, Kryptowährungs-Wallets und anderen Anwendungen zu sammeln.

Eine alternative Angriffskette, die von Checkmarx beobachtet wurde, soll den ausführbaren Code in einem PNG-Bild („uwu.png“) versteckt haben, das anschließend dekodiert und ausgeführt wird, um die öffentliche IP-Adresse und den Universally Unique Identifier (UUID) des betroffenen Systems zu extrahieren.

Insbesondere Pystob und Pywool wurden unter dem Deckmantel von Tools für die API-Verwaltung veröffentlicht – tatsächlich jedoch sendeten die Pakete Daten an einen Discord-Webhook. Zudem versuchten sie, durch das Ablegen einer VBS-Datei im Windows-Startordner die Kontrolle aufrechtzuerhalten. Checkmarx betonte, dass diese Kampagne erneut zeigt, wie weitreichend die Bedrohungen in der heutigen digitalen Welt sind, vor allem in Bereichen, in denen gemeinsame Arbeit und offener Code-Austausch von großer Bedeutung sind.

Auch Aktivisten infiltrieren immer häufiger Open-Source-Ökosysteme

Diese Entwicklungen fallen mit einer Entdeckung von ReversingLabs zusammen, wonach eine neue Gruppe von npm-Paketen Protestbotschaften zu den Konflikten in der Ukraine, Israel und im Gazastreifen enthält.

Ein Paket namens @snyk/sweater-comb (Version 2.1.1) etwa identifiziert den Standort des Computers und sendet eine Nachricht, die die „ungerechtfertigte Invasion“ der Ukraine kritisiert, wenn sich der Host in Russland befindet. Es verwendet das Modul „es5-ext“ für diese Aktion.

Ein anderes Paket namens e2eakarev bezeichnet sich in der package.json-Datei als „free palestine protest package“. Es überprüft, ob die IP-Adresse auf Israel verweist und protokolliert dann eine „harmlose Protestnachricht“, welche die Entwickler dazu ermutigt, sich mehr für den palästinensischen Kampf einzusetzen.

Es sind also nicht nur Bedrohungsakteure, die in Open-Source-Ökosysteme eindringen. Anfang dieser Woche entdeckte GitGuardian 3.938 eindeutig geheime Schlüssel und Anmeldedaten in 2.922 PyPI-Projekten, von denen sich 768 als gültig erwiesen. Dazu gehören AWS-Schlüssel, Azure Active Directory API-Schlüssel, GitHub OAuth-App-Schlüssel, Dropbox-Schlüssel, SSH-Schlüssel und Zugangsdaten für MongoDB, MySQL, PostgreSQL, Coinbase und Twilio.

Außerdem wurden viele dieser vertraulichen Informationen mehrmals geleakt, und zwar über verschiedene Versionen hinweg. So summierte sich die Gesamtanzahl der Vorfälle auf 56.866. „Die Preisgabe von Geheimnissen in Open-Source-Paketen birgt erhebliche Risiken sowohl für Entwickler als auch für Nutzer“, so Tom Forbes von GitGuardian. „Angreifer können diese Informationen ausnutzen, um sich unbefugten Zugang zu verschaffen, sich als Paketverwalter auszugeben oder Benutzer mithilfe von Social-Engineering-Methoden zu manipulieren.“

Wegen der fortgesetzten Angriffswelle auf die Software-Lieferkette hat die US-Regierung diesen Monat neue Richtlinien für Softwareentwickler und -anbieter veröffentlicht, um das Bewusstsein für Softwaresicherheit zu stärken. Die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Office of the Director of National Intelligence (ODNI) empfehlen: „Wer für die Beschaffung externer Software-Komponenten verantwortlich ist, sollte angesichts der jüngsten prominenten Vorfälle in der Software-Lieferkette seine Kaufentscheidungen mit einer Risikobewertung der Lieferkette verknüpfen.“ Außerdem sollten Softwareentwickler und -anbieter ihre Entwicklungsprozesse verbessern, um das Risiko von Schäden sowohl für ihre Mitarbeiter und Aktionäre, als auch für ihre Nutzer zu verringern.

Diesen Beitrag teilen: