Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
W4SP Stealer: Warum Discord-Malware bereits in Ihrem Python-Code stecken könnte
Februar 16, 2023 - TuxCare PR Team
Wir berichteten erstmals im November über W4SP Stealer als Reaktion auf weit verbreitete Nachrichten über einen neuen Angriff auf die Python-Lieferkette. Wie so oft sieht es leider so aus, als ob W4SP Stealer ein Dauerbrenner ist und weiterhin Python-Code-Pakete auf der ganzen Welt plagen wird.
In diesem Artikel gehen wir noch einmal auf die Ursprünge von W4SP Stealer ein, erklären, wie die Infiltration von PyPI ihn zu einer Bedrohung für Python-Entwickler überall macht, und erläutern, warum Sorgfaltspflicht immer noch die beste Verteidigung ist.
Was ist W4SP Stealer?
Die Malware, um die es in dieser großen Geschichte geht, W4SP Stealer, gibt es schon seit einer unbekannten Zeit. Zu einem bestimmten Zeitpunkt war der Code für den Trojaner auf GitHub frei verfügbar, aber die Community hat ihn aufgegriffen und deaktivierte die GitHub-Seite (obwohl er Berichten zufolge immer noch für 20 Dollar pro Stück erhältlich ist - zahlbar in Kryptowährungen oder Geschenkkarten - wenn man weiß, wo man suchen muss).
Aus Berichten geht hervor, dass W4SP Stealer in der Regel durch Phishing-Kampagnen oder durch Ausnutzung von Sicherheitslücken in Software verbreitet wurde. Zu einem bestimmten Zeitpunkt verbreitete er sich über eine TikTok-Herausforderung.
Die Informationen, die W4SP Stealer sammeln kann, variieren, können aber Kreditkarteninformationen und Passwörter umfassen. Die Malware kann es auch auf Krypto-Wallets und Discord-Token abgesehen haben. Tatsächlich kann sie jede Datei schlürfen, die nützlich erscheinen könnte. Sie wird von jemandem veröffentlicht, der sich selbst Namen wie billythegoat356, BillyV3 und BillyTheGoat gibt.
Wie gelangte der W4SP-Stealer in die Python-Lieferkette?
Berichte über das Eindringen von W4SP in die Python-Code-Lieferkette wurden im November und Dezember 2022 laut und deutlich... aber es war tatsächlich so, erstmals im August 2022 entdeckt. Es war ein Unternehmen namens Phylum, das Entwicklern hilft, die Software-Lieferkette zu sichern, das die Entdeckung machte.
Die Malware wurde in Paketen entdeckt, die über den Python Package Index (PyPI) bereitgestellt wurden. PyPI ist ein Repository mit Python-Softwarepaketen, aus dem Benutzer einfach Pakete und Module herunterladen und installieren können, die von der Python-Community erstellt wurden, einschließlich Bibliotheken, Tools und Anwendungen von Drittanbietern. Es ist ein zentraler Ort, an dem die Benutzer wiederverwendbaren Code finden und gemeinsam nutzen können, um den Entwicklungsprozess zu beschleunigen.
Es ist jedoch sehr schwierig, ein Paket-Ökosystem konsequent zu überwachen. Dazu braucht man eine Menge Ressourcen, und genau hier kommt Phylum ins Spiel. Im Beitrag nach Beitragberichtete das Phylum-Forschungsteam, wie es den Sponsoren von W4SP Stealer gelang, elementare Erkennungsmechanismen zu umgehen und bösartigen Code in PyPI-Pakete einzuschleusen.
Das Ergebnis ist, dass Python-Entwickler, die eines der vielen PyPI-Pakete in ihren Code einbinden, versehentlich auch Code für W4SP Stealer eingebunden haben. Pakete wie modulesecurity, informmodule und randomtime enthalten W4SP-Stealer-Code und wurden von zahlreichen Entwicklern verwendet.
Angriffe auf die Lieferkette (hier gibt es nichts Neues zu sehen)
Bei einem Angriff auf die Software-Lieferkette dringt ein Angreifer in den Software-Entwicklungsprozess ein, um bösartigen Code einzuschleusen oder Schwachstellen auszunutzen. Ein solcher Angriff kann in jeder Phase der Lieferkette erfolgen, einschließlich der verwendeten Komponenten, Bibliotheken von Drittanbietern und Abhängigkeiten, des Erstellungs- und Paketierungsprozesses und sogar der Verteilung von Software-Updates.
Der gegen PyPI gerichtete Angriff auf die Lieferkette ist typisch für viele Paket-Ökosysteme da draußen, egal ob es sich um Python, PHP, Java oder JavaScript handelt. Es ist eine Situation, in der viele Entwickler viele Pakete erstellen, in der es aber an Ressourcen fehlt, um jede einzelne Einreichung korrekt zu überprüfen.
Etwas mit bösartigen Absichten, wie W4SP Stealer, kann also in die Paketlisten gelangen, dieselben Listen, die Entwickler durchsuchen, um Bibliotheken zu finden, die ihnen die Arbeit erleichtern. Und W4SP Stealer beweist, dass Entwickler, die ihre Sorgfaltspflicht nicht erfüllen, am Ende mehr bekommen können, als sie erwartet haben, und folglich bösartigen Code in eine Anwendung einschleusen.
Was können Bauherren tun, um eine Sorgfaltsprüfung durchzuführen?
- Durchführung von Hintergrundprüfungen: Das ist schwierig, wenn man es eilig hat, aber es ist wichtig. Ein Entwickler muss Drittanbieter überprüfen, einschließlich derer, die in Paket-Repositories wie PyPI veröffentlichen, um sicherzustellen, dass sie eine gute Sicherheitsbilanz haben. Achten Sie auch auf Manipulationen.
- Sichere Build-Pipelines und Verschlüsselung verwenden: Nutzen Sie automatische Codeüberprüfungen und Schwachstellen-Scans, um potenzielle Sicherheitsbedrohungen zu erkennen. Verschlüsseln Sie Softwarepakete vor der Verteilung und verwenden Sie digitale Signaturen, um ihre Authentizität zu überprüfen.
- Software-Abhängigkeiten überwachen: Behalten Sie den Überblick über die von Ihnen verwendeten Software-Abhängigkeiten und -Pakete, suchen Sie regelmäßig nach Sicherheitslücken in den Abhängigkeiten und wenden Sie regelmäßig die empfohlenen Updates an, um sicherzustellen, dass die Sicherheitslücken geschlossen sind.
- Bilden Sie Ihr Team aus: Alle Mitglieder des Entwicklungsteams müssen sich der Risiken in der gesamten Software-Lieferkette bewusst sein und verstehen, dass ein beliebtes und gut präsentiertes Paket in einem Paket-Repository noch lange nicht bedeutet, dass es sicher ist.
Das ist ein umfangreicher Prozess und weit entfernt von den alten Zeiten, als Entwickler einfach Pakete verwenden konnten, um ihre Arbeit zu beschleunigen, ohne sich über die Konsequenzen Gedanken zu machen.
Die richtigen Grundlagen schaffen
Bei TuxCare, setzen wir uns für sichere Entwicklungsprozesse während des gesamten SDLC. Die Entwicklungsumgebung ist komplex, mit vielen beweglichen Teilen, und es ist zweifellos schwierig für Entwickler, die unter Druck stehen, sicherzustellen, dass die Vorrechte der Cybersicherheit immer berücksichtigt werden.
Deshalb ist es nicht verwunderlich, dass selbst gewissenhafte Entwickler einen Weg finden, um Bedrohungen zu umgehen. Allerdings lassen Entwicklerteams manchmal Tür und Tor offen, indem sie mit unzuverlässigen Codequellen arbeiten, sich auf veraltete Sprachversionen verlassen und so weiter.
Während TuxCare Ihnen bei veraltetem Python durch unseren Extended Lifecycle Support helfen kann, liegt der Rest bei Ihnen und Ihrem Entwicklerteam. Die beste Vorgehensweise: Befolgen Sie unsere obigen Tipps, und verfolgen Sie die Nachrichten um bei wichtigen Ereignissen auf dem Laufenden zu bleiben.
