Angreifer erstellen weiterhin gefälschte Python-Pakete und nutzen rudimentäre Verschleierungstechniken, um die Systeme von Entwicklern mit dem W4SP Stealer zu infizieren, einem Trojaner, der Kryptowährungsinformationen stehlen, vertrauliche Daten exfiltrieren und Anmeldeinformationen von Entwicklersystemen sammeln soll.
Laut einer diese Woche vom Software-Lieferkettenunternehmen Phylum veröffentlichten Empfehlung hat ein Bedrohungsakteur 29 Klone beliebter Softwarepakete auf dem Python Package Index (PyPI) erstellt und ihnen harmlos klingende Namen gegeben oder ihnen absichtlich Namen gegeben, die legitimen Paketen ähneln, a eine Praxis, die als Typosquatting bekannt ist. Wenn ein Entwickler die Schadpakete herunterlädt und lädt, installiert das Setup-Skript – über eine Reihe verschleierter Schritte – auch den W4SP-Stealer-Trojaner. Die Pakete machten 5,700 Downloads aus, sagten Forscher.
Während W4SP Stealer auf Kryptowährungs-Wallets und Finanzkonten abzielt, scheinen Entwicklergeheimnisse das wichtigste Ziel der aktuellen Kampagnen zu sein, sagt Louis Lang, Mitbegründer und CTO von Phylum.
„Es ist den E-Mail-Phishing-Kampagnen, die wir gewohnt sind, nicht unähnlich, nur dass es die Angreifer dieses Mal ausschließlich auf Entwickler abgesehen haben“, sagt er. „Angesichts der Tatsache, dass Entwickler häufig Zugriff auf die Kronjuwelen haben, kann ein erfolgreicher Angriff für ein Unternehmen verheerende Folgen haben.“
Die Angriffe des unbekannten Akteurs oder der unbekannten Gruppe auf PyPI sind nur die neuesten Bedrohungen für die Software-Lieferkette. Open-Source-Softwarekomponenten, die über Repository-Dienste wie PyPI und den Node Package Manager (npm) verteilt werden, sind ein beliebter Angriffsvektor Die Anzahl der in Software importierten Abhängigkeiten ist dramatisch gestiegen. Angreifer versuchen, die Ökosysteme zu nutzen, um Malware auf die Systeme unachtsamer Entwickler zu verteilen, wie es in passiert ist ein Angriff im Jahr 2020 auf das Ruby Gems-Ökosystem und Angriffe auf das Docker Hub-Image-Ökosystem. Und im August Sicherheitsforscher von Check Point Software Technologies 10 PyPI-Pakete gefunden das warf Malware zum Diebstahl von Informationen ab.
In dieser neuesten Kampagne „sind diese Pakete ein ausgefeilterer Versuch, den W4SP Stealer auf die Maschinen von Python-Entwicklern zu übertragen“, so die Phylum-Forscher in ihrer Analyse angegeben, und fügte hinzu: „Da es sich um einen fortlaufenden Angriff mit ständig wechselnden Taktiken eines entschlossenen Angreifers handelt, gehen wir davon aus, dass in naher Zukunft weitere Malware dieser Art auftauchen wird.“
PyPI-Angriff ist ein „Zahlenspiel“
Dieser Angriff nutzt Entwickler aus, die versehentlich den Namen eines gängigen Pakets falsch eingeben oder ein neues Paket verwenden, ohne die Quelle der Software ausreichend zu überprüfen. Ein bösartiges Paket namens „typesutil“ ist lediglich eine Kopie des beliebten Python-Pakets „datetime2“ mit einigen Modifikationen.
Zunächst führte jedes Programm, das die Schadsoftware importierte, während der Setup-Phase, wenn Python Abhängigkeiten lädt, einen Befehl zum Herunterladen von Schadsoftware aus. Da PyPI jedoch bestimmte Prüfungen implementierte, begannen die Angreifer, Leerzeichen zu verwenden, um die verdächtigen Befehle aus dem normalen sichtbaren Bereich der meisten Code-Editoren zu verschieben.
„Der Angreifer änderte seine Taktik leicht und anstatt den Import einfach an einer offensichtlichen Stelle abzulegen, wurde er weit außerhalb des Bildschirms platziert und nutzte Pythons selten verwendetes Semikolon, um den Schadcode in dieselbe Zeile wie anderen legitimen Code zu schleichen“, erklärte Phylum in seiner Analyse.
Während Typosquatting ein Low-Fidelity-Angriff mit nur seltenem Erfolg ist, kostet der Aufwand für die Angreifer im Vergleich zum potenziellen Gewinn wenig, sagt Lang von Phylum.
„Es ist ein Zahlenspiel, bei dem Angreifer täglich das Paket-Ökosystem mit diesen bösartigen Paketen verunreinigen“, sagt er. „Die bedauerliche Realität ist, dass die Kosten für die Bereitstellung eines dieser Schadpakete im Verhältnis zum potenziellen Nutzen äußerst gering sind.“
Ein W4SP, das sticht
Das letztendliche Ziel des Angriffs besteht darin, den „Informationsdiebstahl-Trojaner W4SP Stealer“ zu installieren, der das System des Opfers auflistet, im Browser gespeicherte Passwörter stiehlt, Kryptowährungs-Wallets ins Visier nimmt und anhand von Schlüsselwörtern wie „Bank“ und „Geheimnis“ nach interessanten Dateien sucht ,'“, sagt Lang.
„Abgesehen von den offensichtlichen finanziellen Vorteilen, die der Diebstahl von Kryptowährungen oder Bankinformationen mit sich bringt, könnten einige der gestohlenen Informationen vom Angreifer dazu genutzt werden, seinen Angriff voranzutreiben, indem er Zugang zu kritischer Infrastruktur oder zusätzlichen Anmeldeinformationen für Entwickler erhält“, sagt er.
Phylum hat einige Fortschritte bei der Identifizierung des Angreifers gemacht und Berichte an die Unternehmen gesendet, deren Infrastruktur genutzt wird.
