Anzeige

Python

Quelle: Trismegist san / Shutterstock.com

Das JFrog Sicherheitsforschungsteam überwacht kontinuierlich populäre Open Source Software (OSS) Repositories mit ihrem automatisierten Tooling, um verwundbare und bösartige Pakete an die Repository-Betreiber zu melden.

Anfang dieses Jahres haben sie mehrere bösartige Pakete aufgedeckt, die auf die privaten Daten von Entwicklern abzielen und etwa 30.000-mal heruntergeladen wurden. Nun veröffentlichen sie die Details über 11 neue Malware-Pakete, die kürzlich entdeckt und den PyPI-Betreuern gemeldet sowie umgehend entfernt wurden.

Shachar Menashe, Senior Director of Research bei JFrog Security kommentiert:

„Paketmanager sind ein wachsender und mächtiger Vektor für die unbeabsichtigte Installation von bösartigem Code, und wie wir bei diesen 11 neuen PyPI-Paketen entdeckt haben, werden die Angreifer in ihrem Ansatz immer raffinierter. Die fortschrittlichen Umgehungstechniken, die in diesen Malware-Paketen verwendet werden, wie neuartige Exfiltration oder sogar DNS-Tunneling, signalisieren einen beunruhigenden Trend, dass Angreifer ihre Angriffe auf Open-Source-Software immer anspruchsvoller und aufwändiger durchführen mit dem Ziel unentdeckt zu bleiben und so viele Maschinen wie möglich zu infizieren.

Obowohl DNS-Tunneling keine neue Methode ist, die Angreifer nutzen, um unentdeckt zu bleiben, ist es doch das erste Mal, dass wir sie in Paketen entdeckt haben, die auf PyPI hochgeladen wurden. Paketmanager können viele der Aktionen abstrahieren, die bei der Installation von Software von Dritten im Hintergrund ablaufen. Dazu gehört auch die Entscheidung, ein lokales Paket aus dem internen Repository des Unternehmens oder ein gleichnamiges Paket aus einer öffentlichen und potenziell bösartigen Quelle zu verwenden. Dies kann zum automatischen und rekursiven Import von Abhängigkeiten führen, von denen jede einzelne kompromittiert werden könnte. Im heutigen Blog geht es nicht darum, Schwachstellen in der von der Community entwickelten Version von PyPI aufzuzeigen. Vielmehr berichten wir über bösartige Pakete, die sich über Entwickler verbreiten, die PyPI ohne deren Wissen nutzen.

Unser Ziel ist es, durch automatisches Scannen populärer Open-Source-Software-Repositories und durch die kontinuierliche Meldung bösartiger Pakete an die Betreuer sicherzustellen, dass die von der Community betriebene Python-Paketregistrierung frei von bösartigen Paketen ist, und so die Risiken für die Software-Lieferkette zu verringern.“

Weitere Informationen finden Sie hier.

https://jfrog.com/
 

 


Artikel zu diesem Thema

Domain Name System
Nov 05, 2021

Die häufigsten Fehler und Schutzmaßnahmen für das DNS

Das Domain Name System (DNS) ist eines der wichtigsten Protokolle im Internet. Häufig…
Python
Okt 06, 2021

Neue Python-Ransomware: Ultra-High-Speed-Angriffe auf ESXi-Server

Sophos gibt Details zu einer neuen, Python-basierten Ransomware bekannt, mit der…
Open Source
Sep 07, 2021

Wie sicher ist Open Source wirklich?

Innovationen sind ohne Open Source Libraries nicht mehr denkbar, denn Open Source…

Weitere Artikel

Jack Dorsey

Square benennt sich in Block um

Der Bezahldienst Square von Twitter-Mitgründer Jack Dorsey untermauert seinen Fokus auf Digitalwährungen mit einem Namenswechsel. Die Firma benennt sich in Block um - in Anlehnung an die Blockchain-Technologie, mit der Kryptogeld wie Bitcoin funktioniert.
Kryptowährung

EU-Länder: Transparenz bei Krypto-Transfers steht

Die EU-Staaten haben sich auf ihre Position für neue Transparenzregeln bei Überweisungen mit Kryptowährungen geeinigt.
Microsoft

Untersuchung aller Software-Praktiken von Microsoft nötig

Die Beschwerde von Nextcloud über das wettbewerbswidrige Verhalten von Microsoft in Verbindung mit Kollaborationssoftware hängt eng zusammen mit den Problemen, die CISPE und viele andere Beobachter als schädlich für einen wettbewerbsfähigen…
Software

Wenn die Standardsoftware den Anforderungsumfang übersteigt

Der große Vorteil von etablierter Standardsoftware ist, dass der Funktionsumfang in der Regel sehr diversifiziert ist und deshalb auch einen großen Teil von spezifischen Anforderungen erfüllt. Der mögliche Nachteil einer Standardsoftware ist, dass einzelne…
Hacker

Hackerangriff auf Bayerische Krankenhausgesellschaft (BKG)

Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG sei am Montag mit einer Schadsoftware infiziert worden, erklärte ein Sprecher am Mittwoch.
KI

Omnipräsent: Viele arbeiten mit KI, ohne es zu wissen

Jeder fünfte Erwerbstätige arbeitet bereits mit Künstlicher Intelligenz (KI), ohne sich dessen bewusst zu sein. Das zeigt eine Studie des Deutschen Instituts für Wirtschaftsforschung (DIW Berlin) und der Technischen Universität Berlin (TU Berlin).

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.