Zephyrnet-Logo

Generative Datenintelligenz

Startups

ESET enthüllt bösartiges Python, das auf Windows- und Linux-Systeme abzielt – My Startup World – Alles über die Welt der Startups!

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 81

ESET Research hat eine Gruppe bösartiger Python-Projekte entdeckt, die über PyPI, das offizielle Python-Paket-Repository (Programmiersprache), verbreitet werden. Die Bedrohung zielt sowohl auf Windows- als auch auf Linux-Systeme ab und stellt normalerweise eine benutzerdefinierte Hintertür mit Cyberspionagefunktionen bereit. Es ermöglicht die Remote-Befehlsausführung und Datei-Exfiltration und bietet manchmal auch die Möglichkeit, Screenshots zu erstellen. In einigen Fällen handelt es sich bei der endgültigen Nutzlast um eine Variante des berüchtigten W4SP Stealer, der persönliche Daten und Anmeldeinformationen stiehlt, oder um einen einfachen Clipboard-Monitor zum Diebstahl von Kryptowährungen oder beides. ESET hat 116 Dateien (Quelldistributionen und Wheels) in 53 Projekten entdeckt, die Malware enthalten. Im vergangenen Jahr haben Opfer diese Dateien mehr als 10,000 Mal heruntergeladen. Ab Mai 2023 lag die Downloadrate bei etwa 80 pro Tag.

PyPI ist bei Python-Programmierern zum Teilen und Herunterladen von Code beliebt. Da jeder zum Repository beitragen kann, kann Malware auftauchen, die sich manchmal als legitime, beliebte Codebibliotheken ausgibt. „Einige bösartige Paketnamen ähneln anderen, legitimen Paketen, aber wir glauben, dass die Hauptmethode, mit der sie von potenziellen Opfern installiert werden, nicht durch Typosquatting, sondern durch Social Engineering erfolgt, bei dem sie durch die Ausführung von pip geführt werden, um ein ‚interessantes‘ Paket zu installieren.“ Aus welchem ​​Grund auch immer“, sagt ESET-Forscher Marc-Étienne Léveillé, der die Schadpakete entdeckt und analysiert hat.

Die meisten Pakete waren zum Zeitpunkt der Veröffentlichung dieser Studie bereits von PyPI entfernt worden. ESET hat mit PyPI kommuniziert, um Maßnahmen bezüglich der verbleibenden Benutzer zu ergreifen. Derzeit sind alle bekannten Schadpakete offline.

ESET hat beobachtet, dass die Betreiber dieser Kampagne drei Techniken anwenden, um Schadcode in die Python-Pakete zu bündeln. Die erste Technik besteht darin, ein „Test“-Modul mit leicht verschleiertem Code im Paket zu platzieren. Die zweite Technik besteht darin, PowerShell-Code in die Datei setup.py einzubetten, die normalerweise automatisch von Paketmanagern wie pip ausgeführt wird, um die Installation von Python-Projekten zu unterstützen. Bei der dritten Technik unternehmen die Betreiber keine Anstrengungen, legitimen Code in das Paket aufzunehmen, sodass nur der Schadcode in leicht verschleierter Form vorhanden ist.

In der Regel handelt es sich bei der endgültigen Nutzlast um eine benutzerdefinierte Hintertür, die zur Remote-Befehlsausführung, zur Datei-Exfiltration und manchmal auch zur Erstellung von Screenshots in der Lage ist. Unter Windows ist die Hintertür in Python implementiert. Unter Linux ist die Hintertür in der Programmiersprache Go implementiert. In einigen Fällen wird anstelle der Hintertür eine Variante des berüchtigten W4SP Stealer verwendet oder ein einfacher Zwischenablagemonitor zum Diebstahl von Kryptowährungen verwendet, oder beides. Der Clipboard-Monitor zielt auf die Kryptowährungen Bitcoin, Ethereum, Monero und Litecoin ab.

„Python-Entwickler sollten den heruntergeladenen Code überprüfen, bevor sie ihn auf ihren Systemen installieren. Wir gehen davon aus, dass dieser Missbrauch von PyPI anhalten wird, und raten zur Vorsicht bei der Installation von Code aus öffentlichen Software-Repositorys“, schließt Léveillé.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.