ClickCease PyPI Bösartige Pakete mit Tausenden von Downloads

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Bösartige PyPI-Pakete mit Tausenden von Downloads zielen auf Python-Entwickler

von Rohan Timalsina

27. November 2023. TuxCare Expertenteam

In den letzten sechs Monaten hat ein nicht identifizierter Bedrohungsakteur bösartige Pakete in den Python Package Index (PyPI), ein Repository für Python-Software, eingeschleust. Das Ziel? Malware freizusetzen, die sich in Ihr System einschleicht, sensible Daten stiehlt und sogar Ihre hart verdiente Kryptowährung erbeutet.

Einem aktuellen Bericht von Checkmars zufolge wurden diese 27 Pakete, die als echte Python-Bibliotheken getarnt sind, tausende Male heruntergeladen. Die meisten Downloads kamen aus den Vereinigten Staaten (41,58 %), Deutschland, Japan, Großbritannien, Frankreich, China (12,22 %), Hongkong, Russland, Irland und Singapur.

 

Bösartige PyPI-Pakete: Angriffsdetails

 

Das Besondere an diesem Angriff ist die Verwendung von Steganografie. Bei der Steganografie werden Informationen in einer anderen gewöhnlichen Datei versteckt, um nicht entdeckt zu werden. In diesem Fall versteckten die Angreifer geschickt eine bösartige Nutzlast in einer unschuldig aussehenden Bilddatei, wodurch der Angriff schwieriger zu erkennen war. Das Sicherheitsunternehmen für die Software-Lieferkette wies darauf hin, dass diese Taktik die Unauffälligkeit des Angriffs deutlich erhöhte.

Einige der irreführenden Pakete sind pyioler, pystallerer, pystob, pyowler und pyhuluh. Die Gegenstücke zu den legitimen Python-Paketen sind pyinstaller, pysolr, pyston, prowler bzw. pyhull. Das Ziel dieses Angriffs war es, die Wahrscheinlichkeit zu erhöhen, dass Entwickler diese schädlichen Pakete ungewollt herunterladen. Die Zahl der heruntergeladenen bösartigen Pakete liegt bei über vier Tausend.

Der in diesen Paketen verwendete Trick ist das setup.py-Skript, das Verweise auf andere bösartige Pakete wie pystob und pywool enthält. Diese wiederum verwenden ein Visual Basic Script (VBScript), um eine Datei namens "Runtime.exe" herunterzuladen und auszuführen und so eine dauerhafte Präsenz auf dem System des Opfers einzurichten.

In der Binärdatei ist ein kompiliertes Programm versteckt, das Informationen aus Webbrowsern, Kryptowährungs-Wallets und verschiedenen Anwendungen extrahieren kann.

Checkmarx stellte auch eine alternative Angriffskette fest, bei der die Angreifer den ausführbaren Code in einem PNG-Bild ("uwu.png") versteckten. Dieses Bild wird entschlüsselt und ausgeführt, um die öffentliche IP-Adresse und den universell eindeutigen Bezeichner (UUID) des betroffenen Systems zu extrahieren.

Pakete wie Pystob und Pywool gaben sich als Tools für die API-Verwaltung aus, ihr eigentliches Ziel war jedoch die Weiterleitung von Daten an einen Discord-Webhook. Außerdem versuchten sie, die Persistenz aufrechtzuerhalten, indem sie die VBS-Datei in den Windows-Startordner legten.

 

Schlussfolgerung

 

In einer digitalen Landschaft voller Bedrohungen ist es für Entwickler und Nutzer entscheidend, wachsam zu bleiben und bösartige PyPI-Pakete zu identifizieren. Angesichts der zunehmenden Risiken hat die US-Regierung in diesem Monat neue Richtlinien herausgegeben, die Entwickler und Anbieter dazu auffordern, der Softwaresicherheit Priorität einzuräumen und das Bewusstsein dafür zu schärfen. Die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Office of the Director of National Intelligence (ODNI) empfehlen Risikobewertungen in der Lieferkette für Kaufentscheidungen, um zu vermeiden, dass sie Opfer von Vorfällen in der Lieferkette für bösartige Software werden.

 

Die Quellen für diesen Artikel sind eine Geschichte von Checkmarx und TheHackerNews.

Zusammenfassung
PyPI Bösartige Pakete mit Tausenden von Downloads
Artikel Name
PyPI Bösartige Pakete mit Tausenden von Downloads
Beschreibung
Entdecken Sie die alarmierende Bedrohung durch 27 schädliche PyPI-Pakete, die auf Python-Entwickler abzielen. Decken Sie die heimlichen Taktiken und die potenziellen Risiken auf.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!