Haarsträubende Attacke auf Python-Pakete: Raffinierte Angreifer infiltrieren die Lieferkette
Sicherheitsforscher des Unternehmens Checkmarx haben kürzlich eine haarsträubende Attacke auf die Lieferkette entdeckt, bei der Python-Pakete durch einen komplexen Angriff mit schädlichem Code infiziert wurden. Das klingt erstmal nach einem echten Alptraum für Entwickler und Nutzer gleichermaßen.
Die Angreifer gaben sich alle Mühe, um ihre schädlichen Absichten zu verschleiern. Zuerst luden sie Schadcode in die offizielle Python-Paket-Registry hoch. Dann registrierten sie eine eigene Domain für die Paket-Registry und stellten dort eine infizierte Version des weit verbreiteten Pakets Colorama bereit. Und als wäre das noch nicht genug, übernahmen die Angreifer schließlich auch noch Konten auf GitHub, um den Schadcode in andere Projekte einzuschleusen. Das ist wirklich raffiniert – wenn auch auf die falsche Art und Weise!
Checkmarx konnte den Angriff auf eine Python-Bibliothek für die Top.gg-Plattform erfolgreich nachverfolgen. Das ist eine Plattform, die von Discord-Bots genutzt wird und über 170.000 Nutzer hat. Allerdings ist unklar, wie viele Nutzer tatsächlich von dem Angriff betroffen sind, da die betroffene Bibliothek nur von einer begrenzten Anzahl von Benutzern auf GitHub verwendet wird. Es scheint jedoch, dass die Angreifer auch andere Projekte infiltrieren konnten. Das ist wirklich beunruhigend.
Der erste Angriffsversuch wurde bereits im November 2022 registriert, als ein Nutzer namens „felpes“ drei Pakete mit unterschiedlichen schädlichen Codes auf dem offiziellen Python-Paket-Index PyPI hochlud. Doch die aktuelle Form des Angriffs begann erst im Februar 2024, als die Angreifer die Domain „pypihosted(.org)“ registrierten. Dadurch konnten sie eine sogenannte Typosquatting-Attacke vorbereiten, bei der Pakete mit leicht abgewandelten Namen ins Visier genommen wurden. Es ist jedoch unwahrscheinlich, dass jemand den Hostnamen aus Versehen eingibt. Aus diesem Grund haben die Angreifer die Möglichkeit genutzt, den Hostnamen einer Paket-Registry in den Abhängigkeiten einzutragen, die vom Python-Paketmanager verwendet werden. Die veränderte Domain wird jedoch vermutlich nur von wenigen sofort bemerkt.
Diese Attacke zeigt einmal mehr, wie wichtig es ist, aufmerksam zu bleiben und verdächtige Aktivitäten zu melden. Entwickler sollten immer sicherstellen, dass sie vertrauenswürdige Quellen für ihre Pakete verwenden und regelmäßig ihre Abhängigkeiten überprüfen. Auch das Aktualisieren von Software und das Verwenden von Sicherheitslösungen wie Checkmarx kann helfen, solche Angriffe zu erkennen und abzuwehren.
Es bleibt zu hoffen, dass die betroffenen Projekte schnell reagieren und Maßnahmen ergreifen, um die Sicherheit ihrer Nutzer zu gewährleisten. In der Zwischenzeit sollten wir alle wachsam bleiben und unsere digitalen Türen gut verschlossen halten. Denn wer weiß schon, welche schädlichen Überraschungen noch auf uns warten.
Schlagwörter: Checkmarx + Python + Colorama
Wie bewerten Sie den Schreibstil des Artikels?