PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf

Kaspersky konnte KI-Chatbot-Tools als Köder identifizieren

[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.

Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken

Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“

Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“

Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop

Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“

Die Kaspersky-Experten hätten zudem feststellen können, dass:

• der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
• der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
• aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.

Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.

Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt

Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.

Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.

Weitere Informationen zum Thema:

kaspersky
Kaspersky Open Source Software Threats Data Feed