Check Point Research (CPR) deckt eine weitere Masche auf, die unter Hackern über die letzten Jahre immer beliebter wurde und warnt vor betrügerischen Code-Paketen. Die ThreatCloud hat mehrere schädliche Objekte gefunden. Diese Masche darf zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die in der Vergangenheit stark zunahmen.
Cyber-Kriminelle versuchen auf verschiedenen Wegen in die Systeme von Unternehmern und Privat-Leuten einzudringen. Code-Pakete sind das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, haben die Verbrecher zunehmend diese für ihre Zwecke missbraucht.
Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen.
Dies bringt vor allem eigentlich vertrauenswürdige Drittanbieter solcher Repositories in Verruf und hat Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von Open Source. Vor allem Node.js (NPM) und Python (PyPi) sind im Visier.
- Beispiel 1: Am 8. August wurde auf PyPi das verseuchte Code-Paket Python-drgn hochgeladen, welches den Namen des echten Paketes drgn missbraucht. Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln.
Diese werden an einen privaten Slack-Kanal geschickt. Das gefährliche: Enthalten ist lediglich eine setup.py-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne die Einwirkung des Benutzers. Dies allein macht die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil versteckt sich daher in dieser Setup-Datei.
- Beispiel 2: Ebenfalls auf PyPi wurde das verseuchte Code-Paket bloxflip angeboten, welches den Namen von Bloxflip.py missbraucht. Dieses deaktiviert als erstes den Windows Defender, um nicht entdeckt zu werden. Danach lädt es eine ausführbare Datei (.exe) unter Nutzung der Python-Funktion Get herunter. Anschließend wird ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.
Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.
Um sich zu schützen rät Check Point stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen zu prüfen. Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen.
Lee Levi, Team Leader im Bereich Mail Security bei Check Point Software Technologies kommentiiert: „Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung. Aus Sicht der Angreifer sind Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.”