Hacker nutzen zunehmend Codepakete für Angriffe

Lesezeit
1 Minute
Bis jetzt gelesen

Hacker nutzen zunehmend Codepakete für Angriffe

03.02.2023 - 14:43
Veröffentlicht in:

Check Point Research warnt vor betrügerischen Codepaketen. Die ThreatCloud hat demnach mehrere schädliche Objekte dieser Art gefunden. Diese Masche zählt zu den Supply-Chain-Angriffen, die zunehmen und schwer zu entdecken sind.

Auf verschiedenem Weg versuchen Cyberkriminelle in die Systeme von Unternehmern und Privatleuten einzudringen und Codepakete sind das neue Vehikel der Hacker. Über die letzten Jahre, so Check Point Research (CPR), haben die Verbrecher zunehmend diese für ihre Zwecke missbraucht: Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Codepakete selbst, die legitim aussehen. Dies bringt vor allem eigentlich vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.

Am 8. August 2022 etwa wurde auf PyPi das verseuchte Paket "Python-drgn" hochgeladen, das den Namen des echten Paketes "drgn" missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt. Das gefährliche: Enthalten ist lediglich eine "setup.py"-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quelldateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setupdatei.

Ebenfalls auf PyPi wurde das verseuchte Codepaket "bloxflip" angeboten, das den Namen von "Bloxflip.py" missbraucht. Dieses deaktiviert als erstes Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.

Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Codepakete stieg, verglichen mit 2021, um stolze 633 Prozent. Lee Levi, Team Leader im Bereich Mail Security bei Check Point Software Technologies: "Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung. Aus Sicht der Angreifer sind Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen."

Check Point rät, um sich zu schützen: Stets die Echtheit aller Quellcodes von Drittanbieter-Programmen und -Paketen prüfen. Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Codepaketen durchführen.

Tags

Ähnliche Beiträge

Exchange ungeschützt im Visier Lars Nitsch Di., 26.03.2024 - 13:09
Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik hervor.
Mehr Transparenz bei Benutzeraktivitäten Lars Nitsch Mo., 25.03.2024 - 09:41
BeyondTrust hat Version 24.1 von "Endpoint Privilege Management für Windows & Mac" veröffentlicht. Die Enterprise-Software zur Durchsetzung von Least-Privilege-Strategien und granularer Applikationskontrolle soll im aktuellen Release mit neuen Funktionen für höhere Benutzerfreundlichkeit und optimierte Arbeitsabläufe sorgen.

Keeper Security mit Updates für mehr administrative Kontrolle

Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.