Cybersecurity Bedrohungshinweise: Bösartige Pakete im Python Package Index (PyPI)

Im Python Package Index (PyPI) wurden neue bösartige Pakete entdeckt, die Passwörter, Authentifizierungscookies und Kryptowährung-Wallets von Entwicklern stehlen können.

Welcher Art ist die Bedrohung?

Im vergangenen Jahr wurden zahlreiche bösartige Pakete unter scheinbar legitimen Namen in Open Source-Repositories hochgeladen. Zwischen dem 27. Januar und dem 29. Januar 2023 hat ein Bedrohungsakteur fünf bösartige Pakete mit der Malware „W4SP Stealer“ auf PyPI hochgeladen. Die in diesen Paketen von BleepingComputer identifizierte Malware stiehlt zunächst Daten von Webbrowsern und versucht dann, Authentifizierungscookies von Discord und anderen ähnlichen Programmen zu stehlen. Schließlich versucht die Malware, Kryptowährung-Wallets und Cookies zu stehlen.

Zu den anvisierten Websites, auf die Sie achten sollten, gehören:

• Coinbase.com
• Gmail.com
• YouTube.com
• Instagram.com
• PayPal.com
• Telegram.com
• Hotmail.com
• Outlook.com
• Aliexpress.com
• ExpressVPN.com
• eBay.com
• Playstation.com
• xbox.com
• Netflix.com
• Uber.com

Warum sollte man aufmerksam sein?

Angriffe auf Lieferketten werden voraussichtlich in Zukunft weiter zunehmen. Gartner sagt voraus, dass 45 Prozent der Organisationen weltweit bis 2025 Angriffe auf ihre Software-Lieferketten erlebt haben werden, dreimal so viele wie im Jahr 2021. Neben PyPI haben Angreifer auch andere Code-Repositories wie GitHub und Unternehmen wie CircleCI, einen Anbieter von Continuous Integration/Continuous Delivery (CI/CD), ins Visier genommen. Repositories wie GitHub und PyPI sind bei Entwicklern ungemein beliebt. Es gibt 100 Millionen GitHub-Benutzer und 400.000 Pakete auf PyPI.

Wie hoch ist Risiko einer Exposition?

Wenn ein bösartiges Paket in ein beliebtes Repository eindringt, kann es von vielen unterschiedlichen Entwicklern heruntergeladen werden, bevor es entdeckt und beseitigt wird. Jeder Entwickler, der Pakete von Open Source-Repositories verwendet, könnte durch diese Art von Angriff gefährdet sein. Es ist äußerst wichtig, den Code in Paketen zu analysieren, bevor sie zu Projekten hinzugefügt werden.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Maßnahmen, um diese Arten von Angriffen zu verhindern:

• Der CISA-Leitfaden gibt Aufschluss über empfohlene Verfahren zur Sicherung der Software-Lieferkette.
• Seien Sie streng mit Anbietern. Wenn Sie ein Open-Source-Repository verwenden, validieren und analysieren Sie den Code, bevor er Ihren Projekten hinzugefügt wird.
• Implementieren Sie Barracuda XDR, um Ihre Systeme auf die mit dieser Bedrohung verbundenen IOCs zu überwachen.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://www.cisa.gov/uscert/sites/default/files/publications/ESF_SECURING_THE_SOFTWARE_SUPPLY_CHAIN_DEVELOPERS.PDF
• https://thehackernews.com/2023/02/researchers-uncover-obfuscated.html
• https://www.bleepingcomputer.com/news/security/devs-targeted-by-w4sp-stealer-malware-in-malicious-pypi-packages/
• https://www.gartner.com/de/articles/7-top-trends-in-cybersecurity-for-2022

Diese Cybersecurity-Bedrohungshinweise wurden ursprünglich von SmarterMSP veröffentlicht.