Symbolbild: Pixabay/ Pexels

Code-Pakete werden als Vehikel für Hacker zunehmend beliebter, um in die Systeme von Unternehmern, Organisationen und Privat-Leuten einzudringen. Dies betonen die Security-Experten von Check Point Research (CPR), nach deren Angaben die Zahl schädlicher Code-Pakete 2022 im Vergleich zum Jahr davor um 633 Prozent zugenommen hat.

Den Experten zufolge schmuggeln die Hacker entweder bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen. Dies bringe vor allem vertrauenswürdige Drittanbieter solcher Repositories in Verruf und habe Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source, so Check Point. Vor allem Node.js (NPM) und Python (PyPi) seien im Visier.

Wie die Sicherheitsspezialisten wissen lassen, wurde am 8. August des vergangenen Jahres auf Pypi das verseuchte Code-Paket Python-Drgn hochgeladen, welches den Namen des echten Paketes Drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stehlen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt.

Das Gefährliche dabei ist, dass lediglich eine Setup.py-Datei enthalten ist, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.

Ebenfalls auf Pypi wurde demnach auch das verseuchte Code-Paket Bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschliessend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.



Der Online-Stellenmarkt für ICT Professionals