Sicherheitsrisiko in PyPI Packages entdeckt

PyPI: Drei Packages mit Schadcode im Cheese Shop
Keine Kommentare

Wie auch andere Package Manager ist Pythons PyPI offenbar nicht vor Malware gefeit: Eine Securityfirma hat den Python Package Index – mit Referenz auf Monty Python auch Cheese Shop genannt – Anfang des Monats unter die Lupe genommen und dabei drei potenziell schädliche Packages entdeckt, die auf Linux-Systeme abzielten.

Im Python Package Index (PyPI), dem offiziellen Repository für Drittanbieter-Software für Python, hat die Securityfirma ReversingLabs drei Malware-Packages gefunden. Das ist bei Paketmanagern nicht unbekannt: Letztes Jahr wurde die JavaScript-Welt durch ein infiziertes npm Package in Aufruhr versetzt, und auch bei PyPI wurde nicht zum ersten Mal schädlicher Code aufgespürt. Worum geht es bei dem neuesten Fund?

Schadcode blieb 20 Monate unentdeckt

Das Securityunternehmen ReversingLabs hat PyPI gescannt und dabei drei schädliche Packages zu Tage gefördert, die vom User ruri12 am 23. November 2017 ohne Beschreibung auf PyPI hochgeladen wurden – und somit 20 Monate lang unentdeckt blieben. Laut Informationen von ZDNet wurde der Account von ruri12 nicht manipuliert, sondern der Code bewusst in den folgenden Packages eingefügt:

Die drei betroffenen PyPI Packages; Quelle: ReversingLabs

Während die beiden Packages libpesh und libari ReversingLabs zufolge zwar Referenzen auf die schädliche Funktion, jedoch selbst keinen Code enthielten, sah die Sache bei libpeshnx anders aus: In libpeshnx wurde eine versteckte Backdoor gefunden, die nur unter Linux aktiviert werden konnte. Es soll sich um eine Variante des früheren schadhaften Packages libpeshka handeln. libpeshnx wurde seit dem Upload nach Angaben von ReversingLabs durchschnittlich 82-mal pro Monat heruntergeladen.

Reaktionen der Community

In der Entwicklercommunity waren schockierte Reaktionen zu vernehmen, wie etwa von Reddit-Nutzer Remote_Cantaloupe: „Terrifying to think this can be out there. Isn’t there some process for verifying libraries are non malicious?” Ein weiterer User auf Reddit, simondrawer, vertritt die Ansicht, dass die infizierten Pakete nur der erste Schritt eines komplexeren Angriffs sein sollten: „It’s first stage of a more complex attack. Get the libs out there and then insert two lines in someone else’s code – would probably pass most code reviews if the library name is generic enough”. Nach eigenen Angaben hat PyPI knapp 350.000 User mit über 180.000 Projekten.

Nachdem das PyPI-Sicherheitsteam am 9. Juli über den Fund informiert wurde, wurden die Packages zwar umgehend entfernt. ReversingLabs gibt jedoch zu bedenken, dass die Frage bleibt, ob sie die einzigen problematischen Packages waren:

PyPI has removed the affected packages, but there’s still the question if they were the only ones.

ReversingLabs

Weitere Informationen zu dem Schadcode-Fund gibt es auf dem ReversingLabs-Blog und bei ZDNet.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -