Aktuelles, Branche - geschrieben von dp am Samstag, November 23, 2024 11:23 - noch keine Kommentare
PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
Kaspersky konnte KI-Chatbot-Tools als Köder identifizieren
[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.
Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken
Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“
Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“
Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop
Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“
Die Kaspersky-Experten hätten zudem feststellen können, dass:
- der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
- der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
- aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.
Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit
„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.
Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“
Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt
Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.
Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.
Weitere Informationen zum Thema:
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren