Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
700+ bösartige Open-Source-Pakete in npm und PyPI entdeckt
Rohan Timalsina
März 13, 2023 - TuxCare-Expertenteam
Sicherheitsforscher haben mehr als 700 bösartige Open-Source-Pakete in npm und PyPI entdeckt. npm und PyPI gehören zu den weltweit am häufigsten von Entwicklern und Unternehmen genutzten Software-Repositories.
npm und PyPI sind die Hauptquellen für verschiedene wichtige Pakete, die bei der Softwareentwicklung benötigt werden. Sie bieten Entwicklern eine bequeme Möglichkeit, Zeit und Mühe zu sparen, indem sie vorgefertigte Code-Komponenten (Pakete) verwenden.
Die Popularität hat jedoch auch eine Kehrseite, denn diese Repositories sind zu einem attraktiven Ziel für Cyberkriminelle geworden, die versuchen, die Schwachstellen dieser Pakete auszunutzen. Sicherheitsforscher von Sonatype haben mit ihrem KI-fähigen Tool 691 bösartige Pakete in der npm-Registrierung und 49 in der PyPI-Registrierung entdeckt.
In npm ziehen vor allem zwei Pakete die Aufmerksamkeit der Forscher auf sich. Eines davon ist "no-one-left-behind" vom Autor Zalastax, das andere umfasst über 33.000 Pakete mit dem Präfix "nolb-" vom Autor "infinitebrahamanuniverse".
Das Paket "no-one-left-behind" hängt von allen öffentlich verfügbaren npm-Paketen ab, während diese über 33.000 Pakete selbst als Komponenten des Pakets "no-one-left-behind" beschrieben werden.
In PyPI hat der Autor "sexydev1337" Pakete hochgeladen, die stark verschleierten Code mit Hyperion enthalten. Sicherheitsforscher haben entdeckt, dass der Code in der Lage ist, Skripte auszuführen, die schädliche Binärdateien von externen Servern herunterladen und ausführen und möglicherweise sogar ausführbare Dateien ersetzen können.
Außerdem stellten sie fest, dass zahlreiche böswillige Akteure Methoden entwickelt hatten, um die Erkennung durch virtuelle Maschinen zu umgehen.
Welche Maßnahmen werden ergriffen, um dieses Problem zu lösen?
Glücklicherweise hat das npm-Sicherheitsteam Maßnahmen ergriffen und das Paket "no-one-left-behind" aus dem Repository entfernt. Ein Platzhalter ersetzt es durch eine Sicherheitswarnung, um zukünftigen Schaden für die Benutzer zu verhindern.
In der Zwischenzeit sind einige Pakete von "infinitebrahamanuniverse" weiterhin verfügbar und werden genau überwacht. Dieser Vorfall dient als Erinnerung für Entwickler, dass Open-Source-Pakete anfällig für Sicherheitsbedrohungen sein können.
Wir hoffen, dass solche bösartigen Pakete in Zukunft nicht mehr regelmäßig auf npm und PyPI zu finden sein werden. Open-Source-Software bietet zwar viele Vorteile, birgt aber auch gewisse Risiken. Daher ist es wichtig, geeignete Maßnahmen zu ergreifen, um diese Risiken zu mindern und die Sicherheit von Softwareanwendungen zu gewährleisten.
Die Quellen für diesen Artikel sind u.a. ein Artikel von It's FOSS News.
