Open Source im professionellen Einsatz

"pip install malware"

18.09.2017

Die nationale Sicherheitsbehörde der Slowakei hat eine weitgehend harmlose Malware in Pythons Pypi-Repository entdeckt. Diese nutzt Ähnlichkeiten von Paketnamen aus.

269

Ein SK-CSIRT-Advisory verrät Details zu dem Fall und zeigt unter anderem die Paketnamen und die darin integrierte Malware. Demnach lassen sich die kompromittierten Pakete unter anderem über den populären Pip-Installer herunterladen und tragen ähnliche Namen wie bekannte Python-Pakete, beispielsweise "urllib-1.21.1.tar.gz" anstelle von "urllib3-1.21.1.tar.gz". Auf der Liste der Fake-Pakete stehen laut Webseite:

– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

Viel Schaden richten die Pakete allerdings nicht an, möglicherweise wollten deren Macher auf drastische Weise auf das Sicherheitsproblem hinweisen. Die Fake-Pakete verbinden sich beim Installieren mit dem Server "http://121.42.217.44:8080/" und schicken dann die Versionsnummer und den Namen des Fake-Pakets, den Benutzernamen des Anwenders, der das Paket installiert hat sowie den Hostnamen. Um den Code zu verschleiern, setzen die Entwickler dabei auf XOR mit hardkodiertem Passwort und Base64.

Tatsächlich haben einige User die Malware offenbar installiert. Da der ergänzte Malware-Code nicht kompatibel zu Python 3.x ist, gab es bereits Beschwerden über Installationsprobleme der Pakete, allerdings wurden diese laut der Sicherheitsbehörde nie als Sicherheitsprobleme erkannt. Die Fake-Pakete lassen sich über "pip uninstall Paketname" deinstallieren. Die Pypi-Betreuer haben sie nach einer Benachrichtigung der Sicherheitsbehörde aus ihrem Repository entfernt, sich aber noch nicht offiziell zu dem Problem geäußert.

Ähnliche Artikel

  • Insecurity Bulletin

    Webapplikationen sind häufig Ziel von entfernten Angreifern. Die nutzen dabei die verschiedensten Schwachstellen aus, beispielsweise SQL-Injection-Fehler oder Cross-Site-Scripting-Gelegenheiten. Etwas seltener findet man Sicherheitslücken, die eine so genannte XML-External-Entity-Attacke ermöglichen.

  • Malwarebytes: Ransomware häufigste Malware

    In seinem Quartalsbericht zu Cybercrime weist der Sicherheitsexperte Malwarebytes auf eine Zunahme der Ransomware hin. Neben Wannacry seien alte Bekannte wie Cerber und einige Newcomer dafür verantwortlich.

  • Android-Malware-Report fürs dritte Quartal 2012

    Eine fundierte Schädlingszählung in der zweiten Jahreshälfte 2012 bestätigt die verbreitete subjektive Annahme, dass Android-Geräte ein (oft lohnendes) Ziel vielfältiger Angriiffsvektoren bleibt.

  • Amarok-Projekt plant Schutz gegen Malware

    Für Linux einen guten Virus zu programmieren, ist relativ schwierig. Viel einfacher ist es, ein Schadprogramm als Add-On getarnt anzubieten. Das Amarok-Projekt will jetzt für besseren Schutz sorgen.

  • Imitator: Crossover 10.0 ist fertig

    Codeweavers hat mit Crossover 10.0 alias Impersonator seine Installationssoftware für Windows-Programme unter Linux und Mac OS X auf den neuesten Stand gebracht.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.