Python Package Index
Hacker schleusen Malware in Software-Bibliothek
Foto: Trismegist san - shutterstock.com
Der Python Package Index (PyPI) wurde das Ziel eines Lieferkettenangriffs. Wie die Python Software Foundation, die das offizielle Software-Repository für die Python-Programmiersprache betreibt, vergangene Woche mitteilte, schleusten die Angreifer Malware in das System und konnten so Anmeldeinformationen stehlen.
Today we received reports of a phishing campaign targeting PyPI users. This is the first known phishing attack against PyPI.
— Python Package Index (@pypi) August 24, 2022
We’re publishing the details here to raise awareness of what is likely an ongoing threat.
Die Analysten stellten fest, dass die Malware sich als neue Version eines legitimen Software-Projekts ausgab. Sie entfernten die kompromittierten Versionen und forderten alle Nutzer des Repository auf, eine Zwei-Faktor-Authentifizierung zu verwenden.
Cyberattacke auf Software-Lieferkette
Bei der Analyse der Malware fanden Sicherheitsforscher der Unternehmen SentinelOne und Checkmarx heraus, dass eine Gruppe von Bedrohungsakteuren namens "JuiceLedger" dahinter steckt. Scheinbar war der Angriff auf die Software-Lieferkette Teil einer größeren Kampagne, die Malware der Gruppe heißt "JuiceStealer".
Anfangs wurde JuiceStealer durch eine Technik verbreitet, die als "Typosquatting" bekannt ist. Dabei schleusten die Angreifer auf die Bibliothek von PyPI Hunderte von gefälschten Datenpaketen, die den Namen echter Pakete sehr ähnlich waren. Installierte ein Nutzer eines der falschen Pakete, suchte die Malware im Chrome-Browser nach darin gespeicherten Passwörtern und missbrauchte diese. Den Forschern zufolge, haben sich die Angriffsmethoden seit dem Erscheinen der Gruppe Ende 2021 weiterentwickelt. Mittlerweile haben sie eine Verbindung zu Nowblox entdeckt, einer Betrugs-Webseite, die vorgibt, kostenlose Online-Währungen für Spiele anzubieten.
Vor wenigen Monaten hat JuiceLedger noch kleine, opportunistische Infektionen vorgenommen, schreiben die Experten in ihrer Zusammenfassung. Nun hat die Gruppe einen Supply-Chain-Angriff auf einen großen Software-Distributor gestartet. "Der Angriff auf die PyPI-Nutzer umfasst eine gezielte Phishing-Kampagne, Hunderte von Typosquatting-Paketen und Kontoübernahmen vertrauenswürdiger Entwickler und zeigt, dass die Angreifer viel Zeit und Ressourcen zur Verfügung haben."