Aktuelles, Branche - geschrieben von dp am Freitag, Februar 3, 2023 21:01 - noch keine Kommentare
Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen
Check Point warnt vor weiterer Masche, welche unter Hackern über die letzten Jahre immer beliebter wurde
[datensicherheit.de, 03.02.2023] Sicherheitsforscher von Check Point gehen in einer aktuellen Stellungnahme auf eine weitere Masche ein, welche unter Hackern über die letzten Jahre immer beliebter geworden sei – verseuchte Pakete mit bösartigen Befehlszeilen dienten als „Stoßtrupp“.
Check Point sieht Code-Pakete als neues Vehikel der Hacker
„Check Point Research“ (CPR), die Forschungsabteilung der Check Point Software Technologies Ltd., warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen: Die „ThreatCloud“ habe mehrere schädliche Objekte gefunden. Diese Masche dürfe zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunähmen.
Auf verschiedenem Weg versuchten Cyber-Kriminelle, in die Systeme von Unternehmern und Privat-Leuten einzudringen, und Code-Pakete seien das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, hätten die Verbrecher zunehmend diese für ihre Zwecke missbraucht: „Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen.“ Dies bringe vor allem eigentlich vertrauenswürdige Drittanbieter solcher „Repositories“ in Verruf und habe Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von „Open Source“. Vor allem „Node.js“ (NPM) und „Python“ (PyPi) seien im Visier.
Beispiel 1 lt. Check Point: Verseuchtes Code-Paket Python-drgn hochgeladen
Am 8. August 2022 sei auf „PyPi“ das verseuchte Code-Paket „Python-drgn“ hochgeladen, welches den Namen des echten Paketes „drgn“ missbrauche. „Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln.“
Diese würden an einen privaten Slack-Kanal geschickt. Das Gefährliche: „Enthalten ist lediglich eine ,setup.py’-Datei, die in der ,Python’-Sprache nur für Installationen genutzt wird und automatisch ,Python’-Pakete abruft, ohne die Einwirkung des Benutzers.“ Dies allein mache die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlten. Der schädliche Teil verstecke sich daher in dieser Setup-Datei.
Beispiel 2 lt. Check Point: Ebenfalls verseuchtes Code-Paket bloxflip angeboten
Ebenfalls auf „PyPi“ sei das verseuchte Code-Paket „bloxflip“ angeboten worden, welches den Namen von „Bloxflip.py“ missbrauche. Dieses deaktiviere als erstes den „Windows Defender“, um nicht entdeckt zu werden.
Danach lade es eine ausführbare Datei (.exe) unter Nutzung der „Python“-Funktion „Get“ herunter. Anschließend werde ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.
Check Point: Angriffe können schwerwiegende Folgen
„Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.“
„Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung“, warnt
Lee Levi, Team Leader im Bereich „Mail Security“ bei Check Point Software Technologies.
Check Point rät, stets Legitimität aller von Dritten erworbenen Quellcodes zu prüfen!
Aus Sicht der Angreifer seien Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Levi betont: „Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.”
Check Point rät, um sich zu schützen: „Stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen prüfen! Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen!“
Weitere Informationen zum Thema:
Cyber, Vikki Davies, 20.01.2022
Software supply chain attacks tripled in 2021 says Argon
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren