ClickCease Bösartige PyPI-Paket-Uploads als Ziel für Entwickler

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Bösartige PyPI-Paket-Uploads als Ziel für Entwickler

Wajahat Raja

9. April 2024. TuxCare-Expertenteam

Angesichts der jüngsten Aktivitäten von Cyberkriminellen wurden die Anmeldungen neuer Nutzer auf der PyPI-Plattform gestoppt. Derzeit ist eine Zunahme von bösartigen PyPI-Paketen Uploads als Grund für die Aussetzung angesehen. In diesem Artikel befassen wir uns mit den Details der bösartigen PyPI-Pakete Uploads und erfahren mehr über die vorübergehende Aussetzung, die der Administrator veranlasst hat.

 

Bösartiges PyPI-Paket: Suspendierung der Anmeldung aufgedeckt


Wie kürzlich in den
Medienberichtewurden am 28. März sowohl die Registrierung neuer Benutzer als auch die Erstellung neuer Projekte vorübergehend gestoppt. Dies geschah als Gegenmaßnahme zu dem, was der Administrator der PyPI für eine Malware-Kampagne hielt. Diese beiden Funktionen wurden jedoch 10 Stunden später wiederhergestellt.

Es ist erwähnenswert, dass in der Ankündigung von PyPI keine weiteren Details über die bösartigen Paket-Uploads veröffentlicht wurden. Ankündigung von PyPI. PyPI ist ein wichtiger Teil der Software-Lieferkette, der es Entwicklern ermöglicht, nützlichen Code zu teilen und herunterzuladen. Angesichts dessen ist es notwendig, mehr über solche Vorfälle zu erfahren.

Die Experten der Cybersicherheitsunternehmen Checkmarx und Phylum haben Untersuchungen zu Malware veröffentlicht, die den bösartigen PyPI-Paket-Uploads ähnlich zu sein scheint oder mit ihnen in Verbindung steht. Das Team von Checkmarx hat das bösartige Paket auf PyPI näher beleuchtet und erklärt:

"Es handelt sich um einen mehrstufigen Angriff, bei dem die bösartige Nutzlast darauf abzielt, Krypto-Wallets, sensible Daten aus Browsern (Cookies, Erweiterungsdaten usw.) und verschiedene Anmeldeinformationen zu stehlen."

Die Bedrohungen, die von den bösartigen Pakete auf PyPI aufgeworfenen Bedrohungen hätten schwerwiegende Schäden verursachen können, wenn sie nicht rechtzeitig bekämpft worden wären. Kommentar zu den Maßnahmen gegen das Hochladen bösartiger Pakete auf PyPI, erklärte Phylum das:

"Während die schnelle und harte Reaktion von PyPI zweifellos dazu beigetragen hat, die Folgen dieses Angriffs zu mildern, ist es dennoch erwähnenswert, dass nicht alle Ökosysteme so schnell und effektiv mit einem solchen Angriff umgehen.


Angriffssequenz der bösartigen Pakete auf PyPI 


Die Angriffssequenz der PyPI-Paket-Uploads ähnelt stark der anderer durch Software-Repositories ausgelöster
Malware-Kampagnen. Jüngsten Berichten zufolge ist diese PyPI-Sicherheitsverletzung Vorfall darauf, Entwickler zum Herunterladen von Codepaketen zu verleiten, die zwar legitim aussehen, aber bösartig sind.

Derzeit wird angenommen, dass Entwickler, die mit beliebten Elementen wie Pillow und Colorama arbeiten, aktiv betroffen sind. Diese beiden Elemente dienen zur Einfärbung von Bildern bzw. Text. Forscher beider Unternehmen glauben, dass Typosquatting eingesetzt wurde, um die Uploads der bösartigen PyPI-Pakete als legitim erscheinen zu lassen. 

Typosquatting ist eine Technik, bei der eine Datei so benannt wird, dass sie wie ein gewöhnliches Paket aussieht, aber einen falschen oder zusätzlichen Buchstaben enthält. Zur Wirksamkeit dieser Technik erklärte Phylum "Es genügt ein einziger falscher Finger auf der Tastatur, um Ihren Computer zu kompromittieren".

Was macht diese PyPI-Schadstoffpakete Uploads zu einer ernsthaften Bedrohung macht, ist die Persistenz der Malware. Sobald ein kompromittiertes Paket heruntergeladen wurde und die Entwickler ihre Arbeit aufgenommen haben, können sie die Malware ohne Eingreifen Dritter ausführen. Es ist erwähnenswert, dass solche Malware sogar einen kompletten Neustart des Systems überleben kann.

Nach dem Herunterladen wurden die Pakete zunächst daraufhin überprüft, ob das Installationsprogramm ein Windows-Betriebssystem verwendet. Wenn dies der Fall war, wurde eine verschleierte Nutzlast heruntergeladen und ausgeführt, die von "funcaptcha[.]ru". Danach führten die Pakete weitere Malware-Funktionen wie Datendiebstahl aus. Die Pakete luden auch weiterhin die Datei "hvnc.py" in den Windows-Startordner herunter, um die Persistenz zu erhöhen.


Details zu den bösartigen PyPI-Paket-Uploads


Bereitstellung von
wertvolle Einblicke in Bezug auf die PyPI-SicherheitslückenCheck Point, eine israelische Cybersecurity-Agentur, hat festgestellt, dass der Upload bösartiger PyPI-Pakete am 26. März begann. Da die Uploads mit einem bestimmten Konto verknüpft sind, kann man davon ausgehen, dass der gesamte Prozess automatisiert war.

Es ist erwähnenswert, dass, da jedes der bösartigen Pakete auf PyPI auf unterschiedliche Identitäten abzielt, ist die Queridentifizierung der Einträge kompliziert. Einige der Details der bösartigen PyPI-Pakete Uploads sind in der folgenden Tabelle aufgeführt.

Pakete Nummer der Variation 
Anforderungen 67 
Matplotlib 38 
Anfragen an 36 
Colorama 35 
Tensorflow 29 
Selen 28 
BeautifulSoup 26 
PyTorch 26 
Kopfkissen 20 
Asyncio 15 


Es ist auch erwähnenswert, dass dies nicht das erste Mal ist, dass PyPI-Anmeldungen ausgesetzt wurden.
Frühere Vorfälle wurden letztes Jahr im Mai, November und Dezember gemeldet. Darüber hinaus wurde ein ähnlicher Vorfall am 2. Januar 2024 gemeldet.

Angesichts der Hartnäckigkeit der PyPI-Sicherheitsverletzungen müssen sowohl Entwickler als auch Unternehmen die Malware-Techniken genau verstehen. Auf diese Weise können kompetente Gegenmaßnahmen entwickelt werden, die das Online-Risiko verringern und die Sicherheitslage verbessern.


Schlussfolgerung 


Neue Benutzerregistrierungen und Paket-Uploads auf PyPI wurden kürzlich aufgrund einiger
PyPI bösartige Pakete Uploads. Diese Pakete gaben sich als legitime Assets aus, dienten aber der böswilligen Absicht, die Geräte der betroffenen Entwickler mit Malware zu infizieren. Die Malware wurde entwickelt, um Windows-Geräte zu infiltrieren, Daten zu stehlen und zusätzliche Skripte herunterzuladen und auszuführen, um die Persistenz zu erhöhen.

Angesichts der Entwicklung von Cyber-Bedrohungen und der Schäden, die sie verursachen können, ist die Implementierung proaktive Sicherheitslösungen für den Schutz digitaler Werte und die Risikominderung von entscheidender Bedeutung.

Die Quellen für diesen Artikel sind unter anderem Artikel in Die Hacker-Nachrichten und Die Platte.

 

Zusammenfassung
Bösartige PyPI-Paket-Uploads als Ziel für Entwickler
Artikel Name
Bösartige PyPI-Paket-Uploads als Ziel für Entwickler
Beschreibung
Der Upload bösartiger Pakete durch PyPI führt dazu, dass neue Benutzerregistrierungen gestoppt werden. Erfahren Sie mehr über die Bedrohungen. Bleiben Sie informiert, bleiben Sie sicher!
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter