[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.

Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken

Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“

Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“

Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop

Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“

Die Kaspersky-Experten hätten zudem feststellen können, dass:

• der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
• der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
• aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.

Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.

Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt

Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.

Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.

Weitere Informationen zum Thema:

kaspersky
Kaspersky Open Source Software Threats Data Feed

[datensicherheit.de, 14.12.2023] Viele Entwickler bedienen sich bei ihren „Python“-Projekten an offiziellen Code-Archiven. Dort können sie ihre Software hoch- und fremde Pakete herunterladen. Der offensichtliche Vorteil: Anstatt alles selbst machen zu müssen, können sie sich auf die Arbeit erfahrener Entwickler verlassen und sparen so Zeit. Allerdings könnten auch Hacker zu diesen Archiven beitragen, wie ESET-Forscher nun nach eigenen Angaben herausgefunden haben. Cyber-Kriminelle haben demnach ihren Schadcode in eines der wichtigsten „Python“-Archive eingebracht und so vermutlich auf zahllose Nutzerdaten zugreifen konnten.

ESET-Forscher entdeckten eine Reihe bösartiger Python-Projekte!

„ESET-Forscher haben eine Reihe bösartiger ,Python’-Projekte entdeckt, die über ,PyPI’, das offizielle Repository für ,Python’-Pakete, verbreitet werden. Der Schadcode zielt sowohl auf ,Windows’- als auch auf ,Linux’-Systeme ab.“ Hacker hätten über eine sogenannte Backdoor in den Paketen die Möglichkeit, Nutzerdaten auszuspähen, wenn Entwickler den bereitgestellten Code in ihre Programme einbauen.

Cyber-Kriminelle könnten auf diese Weise auf Geräten von Endnutzern Remote-Befehle ausführen, Dateien exfiltrieren und sogar Screenshots erstellen. Im letzten Jahr, 2022, hätten Entwickler auf der ganzen Welt diese Malware unwissentlich heruntergeladen und unter Umständen in ihre Projekte eingebaut – und Hackern somit Zugang zu zahlreichen wertvollen Nutzerdaten gegeben.

Python-Projektarchiv PyPi: Jeder kann beitragen, leider auch Hacker!

Bei „PyPi“ handele es sich um ein beliebtes Software-Verzeichnis, in dem Entwickler ihren eigenen „Python“-Code einstellen und fremde Software herunterladen können. Es weise knapp 500.000 Projekte und über 9,8 Millionen Dateien bei gut 760.000 Nutzern auf – und stelle damit ein lohnendes Ziel für Hacker dar.

In insgesamt 116 Dateien in 53 Projekten hätten die ESET-Forscher den Schadcode entdeckt. Die Download-Zahlen seien indes beachtlich: „Über 10.000-mal wurden die Pakete im Laufe der letzten zwölf Monate heruntergeladen, seit Mai lag die Rate bei rund 80 Downloads pro Tag.“

Malware W4SP Stealer bedroht Python-Projekte!

„Um auf diese hohen Download-Zahlen zu kommen, setzten die Hacker vor allem auf ,Social Engineering’: Sie empfahlen Entwicklern, Software-Pakete zu installieren, die angeblich genau das richtige für ihr Projekt wären. Fielen ihre Opfer auf die Masche herein, implementierten sie dann den infizierten Code in ihre Software und trugen somit zur Verbreitung bei“, so ESET-Forscher Marc-Étienne Léveillé, Entdecker und Analyst dieser bösartigen Pakete.

In einigen Fällen handele es sich beim so eingebauten Schadcode um eine Variante des berüchtigten „W4SP Stealer“, einer Malware, welche persönliche Daten und Anmeldeinformationen abgreife. Auch Programme, welche die Zwischenablage überwachen, etwa um verschiedene sogenannte Kryptowährungen wie „Bitcoin“, „Ethereum“, „Monero“ und „Litecoin“ zu stehlen, seien entdeckt worden.

Python-Entwickler sollten heruntergeladenen Code überprüfen, bevor sie ihn installieren!

„,Python’-Entwickler sollten den Code, den sie herunterladen, überprüfen, bevor sie ihn auf ihren Systemen installieren. Wir gehen davon aus, dass der Missbrauch von ,PyPI’ weitergehen wird, und raten zur Vorsicht bei der Installation von Code aus einem öffentlichen Software-Repository“, empfiehlt Léveillé.

Die meisten schadhaften Pakete seien vor Abschluss der Untersuchungen durch Léveillé und seinem Team bereits von „PyPI“ entfernt worden. ESET sei mit „PyPI“ in Kontakt getreten, um auch noch die restliche Malware zu entfernen – mittlerweile seien alle bekannten bösartigen Pakete offline.

Weitere Informationen zum Thema:

welivesecurity by ESET, Marc-Etienne M.Léveillé, 12.12.2023
ESET Research, Featured / Ein faules Potpourri aus Python-Paketen in PyPi