Code-Pakete als Einfallstor

B2B Cyber Security ShortNews

Beitrag teilen

Sicherheitsforscher heben eine weitere Masche hervor, die unter Hackern über die letzten Jahre beliebt wurde. Verseuchte Code-Pakete mit bösartigen Befehlszeilen dienen als Stoßtrupp.

Die Forschungsabteilung von Check Point Software warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen. Diese Masche darf zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunahmen. Auf verschiedenem Weg versuchen Cyber-Kriminelle in die Systeme von Unternehmern und Privat-Leuten einzudringen und Code-Pakete sind das neue Vehikel der Hacker.

Anzeige

Code-Pakete als Vehikel

Über die letzten Jahre, haben die Verbrecher zunehmend diese für ihre Zwecke missbraucht: Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen. Dies bringt vor allem eigentlich vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.

Beispiel 1

Am 8. August wurde auf PyPi das verseuchte Code-Paket Python-drgn hochgeladen, welches den Namen des echten Paketes drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt. Das gefährliche: Enthalten ist lediglich eine setup.py-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.

Beispiel 2

Ebenfalls auf PyPi wurde das verseuchte Code-Paket bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.

Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.

Mehr bei CheckPoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Cyberkriminelle missbrauchen DeepSeek für Betrugsmaschen

Mit dem Fortschritt künstlicher Intelligenz entwickeln sich auch die Methoden von Cyberkriminellen weiter. Der jüngste Anstieg KI-gestützter Betrugsmaschen rund um ➡ Weiterlesen

Warnung vor chinesischer Ransomware-Bande Ghost

Die US-amerikanischen Behörden CISA, FBI und das Multi-State Information Sharing and Analysis Center (MS-ISAC) haben gemeinsam eine Analyse der Aktivitäten ➡ Weiterlesen

Cyberattacken gegen das Landesdatennet in Thüringen

Das Landesdatennetz in Thüringen muss vielfältige digitale Angriffe abwehren. Teilweise gab es im vergangenen Jahr gezielte Attacken auf Systeme der ➡ Weiterlesen

PlushDaemon: Neue chinesische APT-Gruppe entdeckt

Die chinesische APT-Hackergruppe PlushDaemon greift sowohl Unternehmen als auch Privatnutzer auf der ganzen Welt an. Mit dem Backdoor "Slow Stepper" ➡ Weiterlesen

Phishing: Neue Attacken über kompromittierte Reisebüro-Konten

Aktuell nutzen Cyberkriminelle die Konten einer bekannten Reiseagentur, um Phishing-Mails in Umlauf zu bringen und auf diese Weise Schadsoftware zu ➡ Weiterlesen

Deutsche Unternehmensnetzwerke von Angriffen bedroht

Laut einer aktuellen IT-Sicherheitsstudie ist das Unternehmensnetzwerk jeder zweiten deutschen Organisation Ziel von Cyberangriffen. Bei rund 40 Prozent von ihnen ➡ Weiterlesen

Cyberangriff auf Staatsregierung und Polizei

Nach Informationen des BR kam es zu einem stundenlangen Cyberangriff auf Webseiten von Staatsregierung und Polizei. Das Landesamt für Sicherheit ➡ Weiterlesen

Cyberangriff auf Bundeswehr-Universität

Die Universität der Bundeswehr München ist zum Ziel einer Cyberattacke geworden. Bei dem Vorfall sind potenziell zahlreiche Datensätze von Studenten ➡ Weiterlesen