Aktuelles, Branche - geschrieben von dp am Samstag, November 23, 2024 11:23 - noch keine Kommentare
PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
Kaspersky konnte KI-Chatbot-Tools als Köder identifizieren
[datensicherheit.de, 23.11.2024] Das „Global Research and Analysis Team“ (GReAT) von Kaspersky hat nach eignen Angaben eine auf das PyPI-Repository (PyPI: „Python Package Index“) abzielende Supply-Chain-Angriffskampagne aufgedeckt – diese habe fast ein Jahr lang unbemerkt laufen können. „Die Angreifer nutzten funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der ,JarkaStealer’-Malware zu verbreiten und um so Informationen abzugreifen.“ Betroffen seien Nutzer weltweit – darunter auch in Deutschland. PyPl habe die schädlichen Pakete inzwischen entfernt.
Kaspersky-GReAT konnte Gefahr mittels eigenen Systems zur Überwachung von Open-Source-Repositories aufdecken
Die schädlichen Pakete seien bereits seit November 2023 auf PyPI verfügbar gewesen und wurden demnach über 1.700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie nun schlussendlich entdeckt und entfernt worden seien. Laut PyPI-Statistiken externer Monitoring-Dienste sei diese Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten gewesen – allerdings scheine sie nicht auf bestimmte Organisationen oder geographische Regionen abzuzielen: „Alle Betroffene scheinen Einzelanwender zu sein.“
Das Kaspersky-GReAT habe diese Bedrohung mithilfe des internen automatisierten Systems zur Überwachung von Open-Source-Repositories identifiziert. Die Pakete seien als „Python“-Wrapper für beliebte KI-Tools – insbesondere „ChatGPT“ von OpenAI und „Claude“ AI von Anthropic – getarnt worden. „Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware ,JarkaStealer’, die dann auf den Systemen der Nutzer installiert wurde.“
Kaspersky-GreAT: Entwickler der Malware vertrieb diese „as-a-Service“ über „Telegram“-Kanal und Bot-Shop
Der in „Java“ geschriebene „JarkaStealer“ könne Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie „Telegram“, „Discord“, „Steam“ und sogar einem „Minecraft“-Cheat-Client abgreifen. Weiterhin verfüge diese Malware über Funktionen zum Beenden von Browser-Prozessen, so bei „Chrome“ und „Edge“, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. „Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.“
Die Kaspersky-Experten hätten zudem feststellen können, dass:
- der ursprüngliche Entwickler der Malware diese über einen „Telegram“-Kanal und einen Bot-Shop als Malware-as-a-Service (MaaS) vertreibe;
- der Quellcode von „JarkaStealer auf GitHub“ veröffentlicht worden sei, so dass ihn jeder einsetzen könne;
- aufgrund von im Code der Malware und in der „Telegram“-Werbung gefundenen Sprachartefakten der Autor der Malware mit mittlerer bis hoher Wahrscheinlichkeit russischsprachig sei.
Kaspersky-GreAT rät bei Integration von Open-Source-Komponenten in Entwicklungsprozesse zu höchster Wachsamkeit
„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, verdeutlicht Leonid Bezvershenko, Sicherheitsforscher im Kaspersky-GreAT.
Er betont: „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“
Nach Kaspersky-Hinweis an PyPI wurden schädliche Pakete aus dem Repository entfernt
Kaspersky habe seine Erkenntnisse an PyPI gemeldet – die schädlichen Pakete seien aus dem Repository entfernt worden. Das Unternehmen überwache weiterhin aktiv alle Aktivitäten im Zusammenhang mit „JarkaStealer“ sowie weitere verdächtige Uploads auf Open-Source-Plattformen, einschließlich PyPI, um die Software-Lieferkette zu schützen.
Die detaillierten Untersuchungen zu „JarkaStealer“ und seiner Verwendung bei dem jüngsten Angriff auf die PyPI-Lieferkette seien auf dem „Kaspersky Threat Intelligence Portal“ veröffentlicht worden. Darüber seien die Forschungsergebnisse von Kaspersky-GReAT zu Risiken in Open-Source-Ökosystemen in den „Kaspersky Open Source Software Threats Data Feed“ integriert. Dieser Feed solle Unternehmen dabei unterstützen, sich proaktiv vor Angriffen auf die Lieferkette zu schützen – „indem er in Echtzeit Informationen über schädliche Aktivitäten liefert, die auf Open-Source-Plattformen abzielen“.
Weitere Informationen zum Thema:
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren