Bösartige PyPI-Pakete mit Tausenden von Downloads zielen auf Python-Entwickler
In den letzten sechs Monaten hat ein nicht identifizierter Bedrohungsakteur bösartige Pakete in den Python Package Index (PyPI), ein Repository für Python-Software, eingeschleust. Das Ziel? Malware freizusetzen, die sich in Ihr System einschleicht, sensible Daten stiehlt und sogar Ihre hart verdiente Kryptowährung erbeutet.
Einem aktuellen Bericht von Checkmars zufolge wurden diese 27 Pakete, die als echte Python-Bibliotheken getarnt sind, tausende Male heruntergeladen. Die meisten Downloads kamen aus den Vereinigten Staaten (41,58 %), Deutschland, Japan, Großbritannien, Frankreich, China (12,22 %), Hongkong, Russland, Irland und Singapur.
Bösartige PyPI-Pakete: Angriffsdetails
Das Besondere an diesem Angriff ist die Verwendung von Steganografie. Bei der Steganografie werden Informationen in einer anderen gewöhnlichen Datei versteckt, um nicht entdeckt zu werden. In diesem Fall versteckten die Angreifer geschickt eine bösartige Nutzlast in einer unschuldig aussehenden Bilddatei, wodurch der Angriff schwieriger zu erkennen war. Das Sicherheitsunternehmen für die Software-Lieferkette wies darauf hin, dass diese Taktik die Unauffälligkeit des Angriffs deutlich erhöhte.
Einige der irreführenden Pakete sind pyioler, pystallerer, pystob, pyowler und pyhuluh. Die Gegenstücke zu den legitimen Python-Paketen sind pyinstaller, pysolr, pyston, prowler bzw. pyhull. Das Ziel dieses Angriffs war es, die Wahrscheinlichkeit zu erhöhen, dass Entwickler diese schädlichen Pakete ungewollt herunterladen. Die Zahl der heruntergeladenen bösartigen Pakete liegt bei über vier Tausend.
Der in diesen Paketen verwendete Trick ist das setup.py-Skript, das Verweise auf andere bösartige Pakete wie pystob und pywool enthält. Diese wiederum verwenden ein Visual Basic Script (VBScript), um eine Datei namens "Runtime.exe" herunterzuladen und auszuführen und so eine dauerhafte Präsenz auf dem System des Opfers einzurichten.
In der Binärdatei ist ein kompiliertes Programm versteckt, das Informationen aus Webbrowsern, Kryptowährungs-Wallets und verschiedenen Anwendungen extrahieren kann.
Checkmarx stellte auch eine alternative Angriffskette fest, bei der die Angreifer den ausführbaren Code in einem PNG-Bild ("uwu.png") versteckten. Dieses Bild wird entschlüsselt und ausgeführt, um die öffentliche IP-Adresse und den universell eindeutigen Bezeichner (UUID) des betroffenen Systems zu extrahieren.
Pakete wie Pystob und Pywool gaben sich als Tools für die API-Verwaltung aus, ihr eigentliches Ziel war jedoch die Weiterleitung von Daten an einen Discord-Webhook. Außerdem versuchten sie, die Persistenz aufrechtzuerhalten, indem sie die VBS-Datei in den Windows-Startordner legten.
Schlussfolgerung
In einer digitalen Landschaft voller Bedrohungen ist es für Entwickler und Nutzer entscheidend, wachsam zu bleiben und bösartige PyPI-Pakete zu identifizieren. Angesichts der zunehmenden Risiken hat die US-Regierung in diesem Monat neue Richtlinien herausgegeben, die Entwickler und Anbieter dazu auffordern, der Softwaresicherheit Priorität einzuräumen und das Bewusstsein dafür zu schärfen. Die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Office of the Director of National Intelligence (ODNI) empfehlen Risikobewertungen in der Lieferkette für Kaufentscheidungen, um zu vermeiden, dass sie Opfer von Vorfällen in der Lieferkette für bösartige Software werden.
Die Quellen für diesen Artikel sind eine Geschichte von Checkmarx und TheHackerNews.