Dreieck

Dreiecksplatz

 Kultur   Gewerbe   Gastronomie   Blog 

Hacker verbreiteten Schadsoftware über offizielles Python ProjektarchivZoom Button

Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

Hacker verbreiteten Schadsoftware über offizielles Python Projektarchiv

#Hacker verbreiteten #Schadsoftware über offizielles #Python Projektarchiv

  • #ESET #Forscher entdecken Schadcode im Repository »PyPi«, der mehr als 10.000 mal heruntergeladen wurde

Jena, PTS, 12. Dezember 2023

ESET Forscher haben eine Reihe bösartiger Python Projekte entdeckt, die über »PyPI«, das offizielle Repository für Python Pakete, verbreitet werden. Der Schadcode zielt sowohl auf Windows als auch auf Linux Systeme ab. Hacker haben über eine Backdoor in den Paketen die Möglichkeit, Nutzerdaten auszuspähen, wenn Entwickler den bereitgestellten Code in ihre Programme einbauen. Die #Cyberkriminellen können auf diese Weise auf Geräten von Endnutzern Remote Befehle ausführen, Dateien exfiltrieren und sogar Screenshots erstellen. Im letzten Jahr haben Entwickler auf der ganzen Welt die #Malware unwissentlich heruntergeladen und unter Umständen in ihre Projekte eingebaut – und Hackern somit Zugang zu zahlreichen wertvollen Nutzerdaten gegeben.

»PyPi«: Jeder kann beitragen, auch Hacker

Bei »PyPi« handelt es sich um ein beliebtes #Software Verzeichnis, in dem Entwickler ihren eigenen Python Code einstellen und fremde Software herunterladen können. Es weist knapp 500.000 Projekte und mehr als 9,8 Millionen Dateien bei gut 760.000 Nutzern auf – und stellt damit ein lohnendes Ziel für Hacker dar.

In insgesamt 116 Dateien in 53 Projekten haben die ESET Forscher den Schadcode entdeckt. Die Downloadzahlen sind indes beachtlich: Über 10.000 Mal wurden die Pakete im Laufe der vergangenen 12 Monate heruntergeladen, seit Mai lag die Rate bei rund 80 Downloads pro Tag.

Mit Social Engineering zum Erfolg

»Um auf diese hohen Download Zahlen zu kommen, setzten die Hacker vor allem auf Social Engineering: Sie empfahlen Entwicklern, Software Pakete zu installieren, die angeblich genau das richtige für ihr Projekt wären. Fielen ihre Opfer auf die Masche herein, implementierten sie dann den infizierten Code in ihre Software und trugen somit zur Verbreitung bei«, erklärt ESET Forscher Marc Étienne Léveillé, der die bösartigen Pakete entdeckt und analysiert hat.

In einigen Fällen handelt es sich beim so eingebauten Schadcode um eine Variante des berüchtigten W4SP Stealers, einer Malware, die persönliche Daten und Anmeldeinformationen abgreift. Auch #Programme, die die Zwischenablage überwachen, etwa um verschiedene Kryptowährungen wie #Bitcoin, #Ethereum, #Monero und #Litecoin zu stehlen, wurden entdeckt.

»Python Entwickler sollten den Code, den sie herunterladen, überprüfen, bevor sie ihn auf ihren Systemen installieren. Wir gehen davon aus, dass der Missbrauch von »PyPI« weitergehen wird, und raten zur Vorsicht bei der Installation von Code aus einem öffentlichen Software Repository«, rät Léveillé.

Die meisten schadhaften Pakete waren vor Abschluss der Untersuchungen durch Léveillé und sein Team bereits von »PyPI« entfernt worden. ESET stand mit »PyPI« in Kontakt, um die restliche Malware zu entfernen. Mittlerweile sind alle bekannten bösartigen Pakete #offline.

Weitere Informationen zu den bösartigen Python Projekten in »PyPI« im Blogbeitrag »Ein faules Potpourri aus Python Paketen in ›PyPi‹«.


Fatal error: Uncaught TypeError: mysqli_num_rows(): Argument #1 ($result) must be of type mysqli_result, bool given in /pages/75/c9/d0016151/home/htdocs/domain-dreiecksplatz/include/content-browser.inc:188 Stack trace: #0 /pages/75/c9/d0016151/home/htdocs/domain-dreiecksplatz/include/content-browser.inc(188): mysqli_num_rows(false) #1 /pages/75/c9/d0016151/home/htdocs/domain-dreiecksplatz/index.php(460): include('/pages/75/c9/d0...') #2 {main} thrown in /pages/75/c9/d0016151/home/htdocs/domain-dreiecksplatz/include/content-browser.inc on line 188