Hacker nutzen zunehmend eigene Code-Pakete für Angriffe oder fügen bösartige Befehlszeile in Code-Pakete die via Online-Repositories und Package Manager verteilt werden. Die Masche wird unter Hackern immer beliebter. Der Anstieg von 2021 zu 2022 lag bereits bei über 600 Prozent, so Check Point.
Check Point Research (CPR), die Forschungsabteilung von Check Point Software Technologies warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen. Die ThreatCloud hat mehrere schädliche Objekte gefunden. Diese Masche darf zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunahmen.
Vertrauenswürde Code-Pakete werden verseucht
Auf verschiedenem Weg versuchen Cyber-Kriminelle in die Systeme von Unternehmern und Privat-Leuten einzudringen und Code-Pakete sind das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, haben die Verbrecher zunehmend diese für ihre Zwecke missbraucht: Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen. Dies bringt vor allem eigentlich vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.
Beispiel 1: Am 8. August wurde auf PyPi das verseuchte Code-Paket Python-drgn hochgeladen, welches den Namen des echten Paketes drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln. Diese werden an einen privaten Slack-Kanal geschickt. Das gefährliche: Enthalten ist lediglich eine setup.py-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.
Paket-Code deaktiviert den Windows Defender
Beispiel 2: Ebenfalls auf PyPi wurde das verseuchte Code-Paket bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.
Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent. Check Point rät, um sich zu schützen: Stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen prüfen. Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.