Das JFrog-Sicherheitsforschungsteam überwacht populäre Open-Source-Software-(OSS)-Repositories mit einem automatisierten Tooling, um verwundbare und bösartige Pakete an die Repository-Betreiber zu melden. Anfang dieses Jahres haben sie mehrere bösartige Pakete aufgedeckt, die auf die privaten Daten von Entwicklern abzielen. Nun veröffentlichen sie die Details [1] über elft Malware-Pakete, die kürzlich entdeckt und den PyPI-Betreuern gemeldet und entfernt wurden.

Shachar Menashe, Senior Director of Research bei JFrog Security, erläutert hierzu: "Paketmanager sind ein wachsender und mächtiger Vektor für die unbeabsichtigte Installation von bösartigem Code, und wie wir bei diesen elf neuen PyPI-Paketen entdeckt haben, werden die Angreifer in ihrem Ansatz immer raffinierter." Die fortschrittlichen Umgehungstechniken, die in diesen Malware-Paketen verwendet würden, wie neuartige Exfiltration oder sogar DNS-Tunneling, signalisierten demnach einen beunruhigenden Trend, dass Angreifer ihre Angriffe auf Open-Source-Software immer anspruchsvoller und aufwändiger durchführen mit dem Ziel unentdeckt zu bleiben und so viele Maschinen wie möglich zu infizieren.

Obowohl DNS-Tunneling keine neue Methode sei, die Angreifer nutzen, um unentdeckt zu bleiben, sei es doch das erste Mal, dass die Security-Experten sie in Paketen entdeckt hätten, die auf PyPI hochgeladen wurden. Paketmanager könnten viele der Aktionen abstrahieren, die bei der Installation von Software von Dritten im Hintergrund abliefen. Dazu gehöre auch die Entscheidung, ein lokales Paket aus dem internen Repository des Unternehmens oder ein gleichnamiges Paket aus einer öffentlichen und potenziell bösartigen Quelle zu verwenden. Dies führe unter Umsständen zum automatischen und rekursiven Import von Abhängigkeiten, von denen jede einzelne kompromittiert werden könne.


dr

[1] https://jfrog.com/blog/python-malware-imitates-signed-pypi-traffic-in-novel-exfiltration-technique/