PyPI
Python-Malware imitiert signierten PyPI-Verkehr mit neuartiger Exfiltrationstechnik
Das Security-Forschungsteam von JFrog überwacht kontinuierlich populäre Open Source Software (OSS) Repositories mit ihrem automatisierten Tooling, um verwundbare und bösartige Pakete an die Repository-Betreiber zu melden. Anfang dieses Jahres haben sie mehrere bösartige Pakete aufgedeckt, die auf die privaten Daten von Entwicklern abzielen und etwa 30.000-mal heruntergeladen wurden. Nun veröffentlichen sie die Details über 11 neue Malware-Pakete, die kürzlich entdeckt und den PyPI-Betreuern gemeldet sowie umgehend entfernt wurden.
Shachar Menashe, Senior Director of Research bei ink text="JFrog Security" url="https://www.jfrog.com/"] kommentiert: „Paketmanager sind ein wachsender und mächtiger Vektor für die unbeabsichtigte Installation von bösartigem Code, und wie wir bei diesen 11 neuen PyPI-Paketen entdeckt haben, werden die Angreifer in ihrem Ansatz immer raffinierter. Die fortschrittlichen Umgehungstechniken, die in diesen Malware-Paketen verwendet werden, wie neuartige Exfiltration oder sogar DNS-Tunneling, signalisieren einen beunruhigenden Trend, dass Angreifer ihre Angriffe auf Open-Source-Software immer anspruchsvoller und aufwändiger durchführen mit dem Ziel unentdeckt zu bleiben und so viele Maschinen wie möglich zu infizieren.
Obowohl DNS-Tunneling keine neue Methode ist, die Angreifer nutzen, um unentdeckt zu bleiben, ist es doch das erste Mal, dass wir sie in Paketen entdeckt haben, die auf PyPI hochgeladen wurden. Paketmanager können viele der Aktionen abstrahieren, die bei der Installation von Software von Dritten im Hintergrund ablaufen. Dazu gehört auch die Entscheidung, ein lokales Paket aus dem internen Repository des Unternehmens oder ein gleichnamiges Paket aus einer öffentlichen und potenziell bösartigen Quelle zu verwenden. Dies kann zum automatischen und rekursiven Import von Abhängigkeiten führen, von denen jede einzelne kompromittiert werden könnte. Im heutigen Blog geht es nicht darum, Schwachstellen in der von der Community entwickelten Version von PyPI aufzuzeigen. Vielmehr berichten wir über bösartige Pakete, die sich über Entwickler verbreiten, die PyPI ohne deren Wissen nutzen.
Unser Ziel ist es, durch automatisches Scannen populärer Open-Source-Software-Repositories und durch die kontinuierliche Meldung bösartiger Pakete an die Betreuer sicherzustellen, dass die von der Community betriebene Python-Paketregistrierung frei von bösartigen Paketen ist, und so die Risiken für die Software-Lieferkette zu verringern.“