ESET Forscher haben eine Reihe bösartiger Python-Projekte entdeckt, die über PyPI, das offizielle Repository für Python-Pakete, verbreitet werden. Der Schadcode zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Hacker haben über eine Backdoor in den Paketen die Möglichkeit, Nutzerdaten auszuspähen, wenn Entwickler den bereitgestellten Code in ihre Programme einbauen. Die Cyberkriminellen können auf diese Weise auf Geräten von Endnutzern Remote-Befehle ausführen, Dateien exfiltrieren und sogar Screenshots erstellen. Im letzten Jahr haben Entwickler auf der ganzen Welt die Malware unwissentlich heruntergeladen und unter Umständen in ihre Projekte eingebaut – und Hackern somit Zugang zu zahlreichen wertvollen Nutzerdaten gegeben.
PyPi: Jeder kann beitragen, auch Hacker
Bei PyPi handelt es sich um ein beliebtes Software-Verzeichnis, in dem Entwickler ihren eigenen Python-Code einstellen und fremde Software herunterladen können. Es weist knapp 500.000 Projekte und über 9,8 Millionen Dateien bei gut 760.000 Nutzern auf – und stellt damit ein lohnendes Ziel für Hacker dar. In insgesamt 116 Dateien in 53 Projekten haben die ESET Forscher den Schadcode entdeckt. Die Downloadzahlen sind indes beachtlich: Über 10.000-mal wurden die Pakete im Laufe der letzten zwölf Monate heruntergeladen, seit Mai lag die Rate bei rund 80 Downloads pro Tag.
Mit Social Engineering zum Erfolg
„Um auf diese hohen Download-Zahlen zu kommen, setzten die Hacker vor allem auf persönlichen Kontakt: Sie empfahlen Entwicklern, Software-Pakete zu installieren, die angeblich genau das richtige für ihr Projekt wären. Über den Paketmanager PIP installierten diese dann die infizierte Software und trugen somit zur Verbreitung bei“, erklärt ESET Forscher Marc-Étienne Léveillé, der die bösartigen Pakete entdeckt und analysiert hat.
In einigen Fällen handelt es sich beim so eingebauten Schadcode um eine Variante des berüchtigten W4SP Stealers, einer Malware, die persönliche Daten und Anmeldeinformationen abgreift. Auch Programme, die die Zwischenablage überwachen, etwa um verschiedene Kryptowährungen wie Bitcoin, Ethereum, Monero und Litecoin zu stehlen, wurden entdeckt. „Python-Entwickler sollten den Code, den sie herunterladen, überprüfen, bevor sie ihn auf ihren Systemen installieren. Wir gehen davon aus, dass der Missbrauch von PyPI weitergehen wird, und raten zur Vorsicht bei der Installation von Code aus einem öffentlichen Software-Repository“, rät Léveillé.
Die meisten der Pakete waren zum Zeitpunkt der Veröffentlichung dieser Meldung bereits von PyPI entfernt worden. ESET stand mit PyPI in Kontakt, um Maßnahmen hinsichtlich der verbleibenden Malware zu ergreifen. Derzeit sind alle bekannten bösartigen Pakete offline.
Weitere Informationen zu den bösartigen Python-Projekten in PyPI finden Sie in dem WeLiveSecurity Blogbeitrag „Ein faules Potpourri aus Python-Paketen in PyPI“.