Hacker nutzen zunehmend Code-Pakete für Angriffe

Redaktion silicon.de,
Linkedin

Sicherheitsforscher von Check Point warnen: Verseuchte Pakete mit bösartigen Befehlszeilen dienen Cyberkriminellen als Stoßtrupp.

Auf verschiedenem Weg versuchen Cyberkriminelle in die Systeme von Unternehmern und Privat-Leuten einzudringen und Code-Pakete sind das neue Vehikel der Hacker, sagen Security-Experten von Check Point Research (CPR). 2022 stieg die Zahl schädlicher Code-Pakete im vergleich zum Vorjahr um 633 Prozent.

Entweder schmuggeln die Hacker bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen. Dies bringt vor allem vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.

Verseuchtes Code-Paket Python-drgn 

Am 8. August wurde auf PyPi das verseuchte Code-Paket Python-drgn hochgeladen, welches den Namen des echten Paketes drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt.

Das gefährliche: Enthalten ist lediglich eine setup.py-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.

Verseuchtes Code-Paket bloxflip im Angebot

BEbenfalls auf PyPi wurde das verseuchte Code-Paket bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.