Meldung

Python-Entwickler im Visier

Anfang dieses Jahres haben Security-Experten von JFrog mehrere bösartige Pakete aufgedeckt, die auf die privaten Daten von Entwicklern abzielen und etwa 30.000-mal heruntergeladen wurden. Nun veröffentlichen sie die Details über elf neue Malware-Pakete, die kürzlich entdeckt und den PyPI-Betreuern gemeldet sowie umgehend entfernt wurden.
Das JFrog-Sicherheitsforschungsteam überwacht populäre Open-Source-Software-(OSS)-Repositories mit einem automatisierten Tooling, um verwundbare und bösartige Pakete an die Repository-Betreiber zu melden. Anfang dieses Jahres haben sie mehrere bösartige Pakete aufgedeckt, die auf die privaten Daten von Entwicklern abzielen. Nun veröffentlichen sie die Details [1] über elft Malware-Pakete, die kürzlich entdeckt und den PyPI-Betreuern gemeldet und entfernt wurden.

Shachar Menashe, Senior Director of Research bei JFrog Security, erläutert hierzu: "Paketmanager sind ein wachsender und mächtiger Vektor für die unbeabsichtigte Installation von bösartigem Code, und wie wir bei diesen elf neuen PyPI-Paketen entdeckt haben, werden die Angreifer in ihrem Ansatz immer raffinierter." Die fortschrittlichen Umgehungstechniken, die in diesen Malware-Paketen verwendet würden, wie neuartige Exfiltration oder sogar DNS-Tunneling, signalisierten demnach einen beunruhigenden Trend, dass Angreifer ihre Angriffe auf Open-Source-Software immer anspruchsvoller und aufwändiger durchführen mit dem Ziel unentdeckt zu bleiben und so viele Maschinen wie möglich zu infizieren.

Obowohl DNS-Tunneling keine neue Methode sei, die Angreifer nutzen, um unentdeckt zu bleiben, sei es doch das erste Mal, dass die Security-Experten sie in Paketen entdeckt hätten, die auf PyPI hochgeladen wurden. Paketmanager könnten viele der Aktionen abstrahieren, die bei der Installation von Software von Dritten im Hintergrund abliefen. Dazu gehöre auch die Entscheidung, ein lokales Paket aus dem internen Repository des Unternehmens oder ein gleichnamiges Paket aus einer öffentlichen und potenziell bösartigen Quelle zu verwenden. Dies führe unter Umsständen zum automatischen und rekursiven Import von Abhängigkeiten, von denen jede einzelne kompromittiert werden könne.
22.11.2021/dr

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen