Mehrere bösartige typosquatted Python-Bibliotheken im PyPI-Repository gefunden

  • Acht Python-Pakete, die mehr als 30.000 Mal heruntergeladen wurden, wurden aus dem PyPI-Portal entfernt, weil sie bösartigen Code enthielten. Dies zeigt einmal mehr, wie sich Softwarepaket-Repositories zu einem beliebten Ziel für Angriffe auf die Lieferkette entwickeln.

    “Der Mangel an Moderation und automatisierten Sicherheitskontrollen in öffentlichen Software-Repositories ermöglicht es selbst unerfahrenen Angreifern, sie als Plattform für die Verbreitung von Malware zu nutzen, sei es durch Typosquatting, Verwirrung von Abhängigkeiten oder einfache Social-Engineering-Angriffe”, so die JFrog-Forscher Andrey Polkovnichenko, Omer Kaspi und Shachar Menashe am Donnerstag.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    PyPI, kurz für Python Package Index, ist das offizielle Software-Repository für Python von Drittanbietern, auf das sich Paketverwaltungsprogramme wie pip als Standardquelle für Pakete und deren Abhängigkeiten verlassen.

    Die fraglichen Python-Pakete, bei denen festgestellt wurde, dass sie mit Base64-Kodierung verschleiert wurden, sind im Folgenden aufgeführt.

    • pytagora (hochgeladen von leonora123)
    • pytagora2 (hochgeladen von leonora123)
    • noblesse (hochgeladen von xin1111)
    • genesisbot (hochgeladen von xin1111)
    • are (hochgeladen von xin1111)
    • suffer (hochgeladen von suffer)
    • noblesse2 (uploaded by suffer)
    • noblessev2 (hochgeladen von suffer)

    Die oben genannten Pakete können als Einstiegspunkt für ausgefeiltere Bedrohungen missbraucht werden, die es dem Angreifer ermöglichen, Remote-Code auf dem Zielcomputer auszuführen, Systeminformationen zu sammeln, Kreditkarteninformationen und in Chrome- und Edge-Browsern automatisch gespeicherte Kennwörter zu erbeuten und sogar Discord-Authentifizierungstoken zu stehlen, um sich als das Opfer auszugeben.

    PyPI ist nicht das einzige Softwarepaket-Repository, das sich als potenzielle Angriffsfläche für Eindringlinge entpuppt hat. Bösartige Pakete, die in npm und RubyGems entdeckt wurden, sind mit Funktionen ausgestattet, die möglicherweise ein ganzes System stören oder als wertvoller Ausgangspunkt dienen können, um tiefer in das Netzwerk eines Opfers einzudringen.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Letzten Monat haben Sonatype und Vdoo typosquatted Pakete in PyPi aufgedeckt, die ein Shell-Skript mit Nutzlast herunterladen und ausführen, das wiederum einen Kryptominer eines Drittanbieters wie T-Rex, ubqminer oder PhoenixMiner zum Mining von Ethereum und Ubiq auf den Systemen der Opfer abruft.

    “Die anhaltende Entdeckung von bösartigen Softwarepaketen in beliebten Repositories wie PyPI ist ein alarmierender Trend, der zu weit verbreiteten Angriffen auf die Lieferkette führen kann”, sagte JFrog CTO Asaf Karas. “Die Möglichkeit für Angreifer, einfache Verschleierungstechniken zu nutzen, um Malware einzuschleusen, bedeutet, dass Entwickler besorgt und wachsam sein müssen. Dies ist eine systemische Bedrohung, die auf mehreren Ebenen aktiv angegangen werden muss, sowohl von den Betreibern der Software-Repositories als auch von den Entwicklern.”

    “Auf Entwicklerseite sollten Präventivmaßnahmen wie die Überprüfung von Bibliothekssignaturen und der Einsatz automatisierter Anwendungssicherheitstools, die nach Hinweisen auf verdächtigen Code im Projekt suchen, fester Bestandteil jeder CI/CD-Pipeline sein. Automatisierte Tools wie diese können Alarm schlagen, wenn bösartige Code-Paradigmen verwendet werden”, so Karas weiter.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com