“pip install malware”

"pip install malware"

Von

Die nationale Sicherheitsbehörde der Slowakei hat eine weitgehend harmlose Malware in Pythons Pypi-Repository entdeckt. Diese nutzt Ähnlichkeiten von Paketnamen aus.

Ein SK-CSIRT-Advisory verrät Details zu dem Fall und zeigt unter anderem die Paketnamen und die darin integrierte Malware. Demnach lassen sich die kompromittierten Pakete unter anderem über den populären Pip-Installer herunterladen und tragen ähnliche Namen wie bekannte Python-Pakete, beispielsweise “urllib-1.21.1.tar.gz” anstelle von “urllib3-1.21.1.tar.gz”. Auf der Liste der Fake-Pakete stehen laut Webseite: 

– acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
– apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
– bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
– crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
– django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
– pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
– setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
– telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
– urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
– urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

Viel Schaden richten die Pakete allerdings nicht an, möglicherweise wollten deren Macher auf drastische Weise auf das Sicherheitsproblem hinweisen. Die Fake-Pakete verbinden sich beim Installieren mit dem Server “http://121.42.217.44:8080/” und schicken dann die Versionsnummer und den Namen des Fake-Pakets, den Benutzernamen des Anwenders, der das Paket installiert hat sowie den Hostnamen. Um den Code zu verschleiern, setzen die Entwickler dabei auf XOR mit hardkodiertem Passwort und Base64.

Tatsächlich haben einige User die Malware offenbar installiert. Da der ergänzte Malware-Code nicht kompatibel zu Python 3.x ist, gab es bereits Beschwerden über Installationsprobleme der Pakete, allerdings wurden diese laut der Sicherheitsbehörde nie als Sicherheitsprobleme erkannt. Die Fake-Pakete lassen sich über “pip uninstall Paketname” deinstallieren. Die Pypi-Betreuer haben sie nach einer Benachrichtigung der Sicherheitsbehörde aus ihrem Repository entfernt, sich aber noch nicht offiziell zu dem Problem geäußert.

Verwandte Artikel

Linux-Kommandozeilentools kommen für Windows

Logo Windows 11 (Quelle: Microsoft)

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben