Backdoors in Python entdeckt
Cybersicherheitsforscher haben im "Python Package Index (PyPI)"-Repository 116 Pakete entdeckt, die darauf abzielen, Windows- und Linux-Systeme mit einer individuell entwickelten Backdoor zu infizieren. Laut ESET-Forschern enthalten einige dieser Pakete eine Version des bekannten W4SP-Stealers oder eine einfache Überwachungsfunktion für die Zwischenablage, um Kryptowährungen zu stehlen - manchmal auch beides. Diese schädlichen Pakete wurden seit Mai 2023 schätzungsweise über 10.000 Mal heruntergeladen.
Die Hacker hinter diesen Aktivitäten haben drei Wege genutzt, um schädlichen Code in Python-Pakete einzuschleusen: über ein test.py-Skript, das Einbetten von PowerShell in die setup.py-Datei und versteckte Einschlüsse in der Datei init.py.
Hauptziel bei dieser Kampagne war es, Computer mit Malware zu infizieren. Insbesondere wollten die Akteure Backdoors installieren, die es ihnen ermöglichen, Befehle aus der Ferne auszuführen, Daten zu stehlen und Screenshots zu machen. Die Backdoor-Module sind in Python für Windows und in Go für Linux geschrieben.
In einigen Fällen endeten die Angriffe mit dem Einsatz von W4SP Stealer oder einer Clipper-Malware. Diese überwachen die Aktivitäten des Opfers in der Zwischenablage und können, falls vorhanden, die ursprüngliche Wallet-Adresse durch eine Adresse ersetzen, die von den Angreifern kontrolliert wird.
Diese Entwicklung ist die jüngste in einer Reihe von kompromittierten Python-Paketen, die Angreifer veröffentlicht haben, um das Open-Source-Ökosystem zu vergiften und Malware für Supply-Chain-Angriffe zu verbreiten. Sie ist auch die neueste Ergänzung in einem stetigen Strom von gefälschten PyPI-Paketen, die als heimlicher Kanal für die Verbreitung von Stealer-Malware dienen. Im Mai 2023 deckte ESET eine weitere Gruppe von Bibliotheken auf, die für die Verbreitung von Sordeal Stealer entwickelt wurden, der seine Funktionen von W4SP Stealer übernommen hat.
Letzten Monat wurden dann bösartige Pakete entdeckt, die sich als scheinbar harmlose Verschleierungstools ausgaben und eine Stealer-Malware mit dem Codenamen BlazeStealer verbreiteten. Die Forscher warnten Python-Entwickler, den Code, den sie herunterladen, sorgfältig zu prüfen, insbesondere auf diese Techniken, bevor sie ihn auf ihren Systemen installieren.
Die Forscher warnen Python-Entwickler ausdrücklich, den Code, den sie herunterladen und installieren möchten, sorgfältig zu überprüfen, um solche Techniken zu erkennen und zu verhindern.
Diese Enthüllungen folgen auf die Entdeckung von npm-Paketen, die in einem „fortgeschrittenen Angreifer“-Szenario auf ein nicht genanntes Finanzinstitut abzielten. Die Namen der Module, die einen verschlüsselten Blob enthielten, wurden aus Sicherheitsgründen zurückgehalten. Die npm-Pakete enthielten einen verschlüsselten Teil, der Benutzerdaten aus dem Unternehmen extrahierte und an einen Microsoft Teams-Webhook weiterleitete, so das auf Software-Lieferketten spezialisierte Sicherheitsunternehmen Phylum.