PyPI: Bösartige Python-Pakete entdeckt

Pakete mit Namen wie bzip oder urlib3 im Python-Repository PyPI sollten offenbar Nutzer erreichen, die versehentlich falsch geschriebene Paketnamen verwenden. Die Namen ähneln populären existierenden Paketen (bzip2, urllib3). Dieses sogenannte Typosquatting ist ein bekanntes Problem, bisher tut PyPI jedoch wenig, um derartige Angriffe zu verhindern.

Laut einem Advisory entdeckte das slovenische CERT (SK-CSIRT) die entsprechenden Pakete. Der Code tat nicht mehr, als einige Informationen über das System an einen chinesischen Server zu schicken, er versuchte dabei allerdings, dies zu verschleiern.

Nahezu alle für Python frei verfügbaren Libraries und Programme können über das PyPI-Repository installiert werden. PyPI spielt damit eine sehr zentrale Rolle für die Python-Community. Mit dem dazugehörigen Tool pip werden Abhängigkeiten automatisch mitinstalliert. Ein einfaches "pip install [Programmname]" reicht dabei meist. Pakete publizieren bei PyPI kann jeder. Man benötigt dafür lediglich einen Benutzeraccount und ein Tool wie Twine, welches entsprechende Pakete hochladen kann.

Problem bereits 2016 in einer Bachelorarbeit beschrieben

2016 beschrieb Nikolai Tschacher Typosquatting-Angriffe auf PyPI in seiner Bachelorarbeit. Tschacher registrierte auch verschiedene Paketnamen und betrachtete dabei zwei mögliche Angriffsszenarien. Zum einen registrierte er Paketnamen, die sich, ähnlich der jetzt gefundenen, nur minimal von existierenden Paketnamen unterscheiden. Zum anderen registrierte er auch Namen aus der Python-Standardbibliothek. Besonders urllib2 erwies sich dabei als problematisch.

Die Pakete in der Python-Standardbibliothek sind bei einer Python-Installation bereits mitgeliefert. Sie müssen daher nicht separat installiert werden. Trotzdem kann man auf PyPI Namen, die identisch sind, registrieren. Die Idee dabei: Ein Nutzer, der nicht weiß, dass beispielsweise urllib2 zur Standardbibliothek gehört, versucht möglicherweise, es vor der Nutzung zu installieren. Doch dabei fängt er sich ein anderes, potenziell bösartiges Paket ein.

Naheliegend wäre es gewesen, nach Tschachers Bachelorarbeit zumindest die bereits bekannten problematischen Paketnamen zu sperren. Doch stattdessen wurden die Pakete einfach gelöscht. Der Softwareentwickler Benjamin Bach konnte daraufhin vor kurzem urllib2 erneut registrieren.

PyPI-Entwickler reagierten nicht auf Warnungen

Bach versuchte dabei mehrfach, die Betreiber von PyPI und das Security-Team von Python auf dieses Problem aufmerksam zu machen. Doch darauf erfolgte keine Reaktion. Bach startete zusammen mit dem Autor dieses Artikels das Projekt Pytosquatting. Sämtliche Paketnamen aus der Standardbilbiothek, die noch frei waren, wurden dafür registriert und enthielten einen kurzen Code, der einen Counter auf einem Server aufruft. Anschließend wird dem Nutzer eine Warnung angezeigt und die Installation abgebrochen.

Alleine das Paket urllib2 wird jeden Tag von über Tausend Personen installiert. Ein Angreifer könnte damit also in kurzer Zeit sehr viele Systeme übernehmen. Inzwischen wurden einige der Pakete von den PyPI-Betreibern wieder gelöscht.

Eine Besonderheit von PyPI: Bereits die Installation eines Pakets führt Code aus. Denn zur Installation wird schlicht das Skript "setup.py" aus dem jeweiligen Paket aufgerufen. Damit reicht bereits ein Aufruf von "pip install" mit einem bösartigen Paketnamen, um ein System zu kompromittieren.

Paketrepositories als Risiko

Es ist zu hoffen, dass dieser Vorfall dazu führt, die Risiken von Paketmanagern mehr in den Blick zu nehmen. Als einfachste Sofortmaßnahme können Paketnamen, die naheliegenderweise problematisch sind, gesperrt werden. Zumindest für die jetzt entdeckten bösartigen Pakete ist das nun passiert.

Dass Pythons Paketmanager pip bei der Installation direkt Code ausführt, soll langfristig nicht so bleiben. Ein neuer Paketstandard namens wheel soll das bisherige Paketformat langfristig ablösen. Doch eine erhöhte Sicherheit bietet das erst, wenn die Unterstützung für das alte Paketformat abgeschaltet wird - und das dürfte noch eine Weile dauern.

Problematisch ist auch generell, dass es keinerlei Prüfung der Inhalte in den Paketrepositories gibt. Das gilt allerdings für ähnliche Systeme von anderen Programmiersprachen genauso. Die Übernahme von Namen mit Variationen und Tippfehlern lässt sich in solchen Systemen kaum verhindern.

Denkbar wäre es, populäre Pakete mit bekannten Entwicklern als vertrauenswürdig zu markieren und in der Standardkonfiguration nur solche Pakete zu installieren. Bei anderen Paketen könnte der Installer eine Warnung anzeigen und mitteilen, dass es sich um ein ungeprüftes Paket handelt.