Thought Leadership
Cybersecurity-Forscher haben mehrere bösartige Python-Pakete entdeckt, die gezielt auf gestohlene E-Mail-Adressen angesetzt wurden. Die Tools nutzten offizielle Programmierschnittstellen (APIs) von TikTok und Instagram, um zu prüfen, ob bestimmte E-Mail-Adressen mit Nutzerkonten verknüpft sind.
Ziel war es, sogenannte Validierungs-Checks durchzuführen – ein erster Schritt in einer möglichen Angriffskette.
Drei verdächtige Pakete entfernt
Die drei betroffenen Pakete, die mittlerweile von der Python Package Index (PyPI) Plattform entfernt wurden, trugen die Namen:
- checker-SaGaF (2.605 Downloads)
- steinlurks (1.049 Downloads)
- sinnercore (3.300 Downloads)
Alle Pakete hatten gemeinsam, dass sie scheinbar harmlose Funktionen anboten, tatsächlich jedoch für gezielte Recherchen gegen reale Nutzer eingesetzt wurden.
„checker-SaGaF“: Automatisierter Abgleich mit TikTok und Instagram
Das Paket checker-SaGaF prüfte automatisiert, ob eine eingegebene E-Mail-Adresse mit einem Konto bei TikTok oder Instagram verknüpft ist. Die Sicherheitsforscherin Olivia Brown von Socket erklärte: „Genauso wie der Name es vermuten lässt, erkennt checker-SaGaF, ob eine E-Mail-Adresse mit einem TikTok- oder Instagram-Konto verbunden ist.“
Technisch geschah das über POST-Anfragen an die Passwort-Wiederherstellungs- und Login-Endpunkte der beiden Plattformen. Erkennt das Tool eine gültige Adresse, bedeutet das für Angreifer: Diese E-Mail ist mit einem aktiven Konto verknüpft. Brown warnt: „Sobald Angreifer diese Information haben, können sie allein mit der E-Mail drohen, Daten zu veröffentlichen, Spam zu verschicken, falsche Meldungen zu starten, um Konten sperren zu lassen, oder die Adressen für Credential Stuffing und Passwort-Spraying nutzen.“
Zielgerichtete API-Manipulation durch „steinlurks“
Das Paket steinlurks verfolgte einen ähnlichen Ansatz, spezialisierte sich jedoch ausschließlich auf Instagram. Es simulierte die Android-App von Instagram, um über spezifische API-Endpunkte gezielt Informationen zu bestehenden Konten zu erhalten. Die Endpunkte waren unter anderem:
i.instagram.com/api/v1/users/lookup/i.instagram.com/api/v1/accounts/send_recovery_flow_email/www.instagram.com/api/v1/web/accounts/check_email/
Diese Vorgehensweise diente offenbar der Umgehung automatischer Schutzmaßnahmen von Instagram.
„sinnercore“: Passwort-Reset-Trigger und weitere Datenabfragen
Auch sinnercore zielte auf Instagram-Nutzer ab, indem es einen Passwort-Zurücksetzen-Vorgang für beliebige Nutzernamen auslöste. Die gefälschten Anfragen richteten sich an:
b.i.instagram.com/api/v1/accounts/send_password_reset/
Zusätzlich wurden Telegram-Profile analysiert (Name, User-ID, Bio, Premium-Status), und es gab Krypto-Funktionen sowie Abfragen zu PyPI-Paketen – vermutlich für Social Engineering oder gefälschte Entwicklerprofile.
Weitere Funde: Hintertüren und Spionagefunktionen
Neben diesen Tools fand ReversingLabs das Paket dbgpkg, das sich als Debugging-Werkzeug tarnte, jedoch eine Backdoor installierte. Ähnliche Merkmale wiesen auch discordpydebug und requestsdev auf, die offenbar Teil derselben Kampagne waren.
Parallel wurde im Node.js-Ökosystem das Schadpaket koishi-plugin-pinhaofa entdeckt. Es war als Rechtschreibkorrektur für Chatbots getarnt, scannte aber Nachrichten nach achtstelligen Hexadezimalfolgen (etwa Git-Hashes oder Tokens) und leitet jede gefundene Nachricht samt eingebetteten Geheimnissen an einen QQ-Account weiter.
Die entdeckten Pakete zeigen, wie scheinbar harmlose Entwickler-Tools Teil komplexer Angriffsketten sein können – von der Konto-Validierung über Datensammlung bis hin zu Backdoors für Dauerzugriffe. Entwickler und Administratoren sollten daher auch bei vertrauten Bibliotheken stets vorsichtig sein und Repositorys, Downloadstatistiken und Änderungen genau prüfen.
