Python Package Index

Hacker schleusen Malware in Software-Bibliothek

Cyberanalysten warnen vor Malware in der beliebten Software-Bibliothek Python Package Index. Die verantwortliche Hackergruppe ist noch neu, optimiert ihre Methoden jedoch.
Von 
CSO | 02. September 2022 14:33 Uhr
Installieren Entwickler aus Versehen das falsche Paket aus dem Python Package Index, können sie sich Malware auf ihren Computer laden.
Installieren Entwickler aus Versehen das falsche Paket aus dem Python Package Index, können sie sich Malware auf ihren Computer laden.
Foto: Trismegist san - shutterstock.com

Der Python Package Index (PyPI) wurde das Ziel eines Lieferkettenangriffs. Wie die Python Software Foundation, die das offizielle Software-Repository für die Python-Programmiersprache betreibt, vergangene Woche mitteilte, schleusten die Angreifer Malware in das System und konnten so Anmeldeinformationen stehlen.

Die Analysten stellten fest, dass die Malware sich als neue Version eines legitimen Software-Projekts ausgab. Sie entfernten die kompromittierten Versionen und forderten alle Nutzer des Repository auf, eine Zwei-Faktor-Authentifizierung zu verwenden.

Cyberattacke auf Software-Lieferkette

Bei der Analyse der Malware fanden Sicherheitsforscher der Unternehmen SentinelOne und Checkmarx heraus, dass eine Gruppe von Bedrohungsakteuren namens "JuiceLedger" dahinter steckt. Scheinbar war der Angriff auf die Software-Lieferkette Teil einer größeren Kampagne, die Malware der Gruppe heißt "JuiceStealer".

Anfangs wurde JuiceStealer durch eine Technik verbreitet, die als "Typosquatting" bekannt ist. Dabei schleusten die Angreifer auf die Bibliothek von PyPI Hunderte von gefälschten Datenpaketen, die den Namen echter Pakete sehr ähnlich waren. Installierte ein Nutzer eines der falschen Pakete, suchte die Malware im Chrome-Browser nach darin gespeicherten Passwörtern und missbrauchte diese. Den Forschern zufolge, haben sich die Angriffsmethoden seit dem Erscheinen der Gruppe Ende 2021 weiterentwickelt. Mittlerweile haben sie eine Verbindung zu Nowblox entdeckt, einer Betrugs-Webseite, die vorgibt, kostenlose Online-Währungen für Spiele anzubieten.

Vor wenigen Monaten hat JuiceLedger noch kleine, opportunistische Infektionen vorgenommen, schreiben die Experten in ihrer Zusammenfassung. Nun hat die Gruppe einen Supply-Chain-Angriff auf einen großen Software-Distributor gestartet. "Der Angriff auf die PyPI-Nutzer umfasst eine gezielte Phishing-Kampagne, Hunderte von Typosquatting-Paketen und Kontoübernahmen vertrauenswürdiger Entwickler und zeigt, dass die Angreifer viel Zeit und Ressourcen zur Verfügung haben."

Lesetipp: Diese Programmiersprachen sind am beliebtesten

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.