Hacker-Angriffe: Check Point meldet Zunahme der Nutzung von Code-Paketen

Check Point warnt vor weiterer Masche, welche unter Hackern über die letzten Jahre immer beliebter wurde

[datensicherheit.de, 03.02.2023] Sicherheitsforscher von Check Point gehen in einer aktuellen Stellungnahme auf eine weitere Masche ein, welche unter Hackern über die letzten Jahre immer beliebter geworden sei – verseuchte Pakete mit bösartigen Befehlszeilen dienten als „Stoßtrupp“.

Check Point sieht Code-Pakete als neues Vehikel der Hacker

„Check Point Research“ (CPR), die Forschungsabteilung der Check Point Software Technologies Ltd., warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen: Die „ThreatCloud“ habe mehrere schädliche Objekte gefunden. Diese Masche dürfe zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunähmen.

Auf verschiedenem Weg versuchten Cyber-Kriminelle, in die Systeme von Unternehmern und Privat-Leuten einzudringen, und Code-Pakete seien das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, hätten die Verbrecher zunehmend diese für ihre Zwecke missbraucht: „Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen.“ Dies bringe vor allem eigentlich vertrauenswürdige Drittanbieter solcher „Repositories“ in Verruf und habe Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von „Open Source“. Vor allem „Node.js“ (NPM) und „Python“ (PyPi) seien im Visier.

Beispiel 1 lt. Check Point: Verseuchtes Code-Paket Python-drgn hochgeladen

Am 8. August 2022 sei auf „PyPi“ das verseuchte Code-Paket „Python-drgn“ hochgeladen, welches den Namen des echten Paketes „drgn“ missbrauche. „Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln.“

Diese würden an einen privaten Slack-Kanal geschickt. Das Gefährliche: „Enthalten ist lediglich eine ,setup.py’-Datei, die in der ,Python’-Sprache nur für Installationen genutzt wird und automatisch ,Python’-Pakete abruft, ohne die Einwirkung des Benutzers.“ Dies allein mache die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlten. Der schädliche Teil verstecke sich daher in dieser Setup-Datei.

Beispiel 2 lt. Check Point: Ebenfalls verseuchtes Code-Paket bloxflip angeboten

Ebenfalls auf „PyPi“ sei das verseuchte Code-Paket „bloxflip“ angeboten worden, welches den Namen von „Bloxflip.py“ missbrauche. Dieses deaktiviere als erstes den „Windows Defender“, um nicht entdeckt zu werden.

Danach lade es eine ausführbare Datei (.exe) unter Nutzung der „Python“-Funktion „Get“ herunter. Anschließend werde ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.

Check Point: Angriffe können schwerwiegende Folgen

„Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.“

„Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung“, warnt
Lee Levi, Team Leader im Bereich „Mail Security“ bei Check Point Software Technologies.

Check Point rät, stets Legitimität aller von Dritten erworbenen Quellcodes zu prüfen!

Aus Sicht der Angreifer seien Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Levi betont: „Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.”

Check Point rät, um sich zu schützen: „Stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen prüfen! Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen!“

Weitere Informationen zum Thema:

Cyber, Vikki Davies, 20.01.2022
Software supply chain attacks tripled in 2021 says Argon