• IT-Karriere:
  • Services:

PyPi-Malware: Britisches Python-Paket klaut Bitcoin

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen.

Artikel veröffentlicht am , Hanno Böck
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus.
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus. (Bild: Prabhu Jay/Wikimedia Commons)

Ein Sicherheitsforscher hat in der Python-Paketverwaltung PyPi einen Malware-Dropper gefunden, der versucht, mit einem besonderen Trick Kryptowährung zu stehlen: Bitcoin-Adressen in der Zwischenablage werden zu Adressen des Angreifers umgeschrieben. Die Malware war unter dem Namen colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.

Stellenmarkt
  1. ITEOS, Stuttgart
  2. über duerenhoff GmbH, Nürnberg

Das legitime Paket und das bösartige unterscheiden sich durch die Schreibweise: Während das Original das Wort color in US-Schreibweise verwendet, nutzt das bösartige Paket die britische Schreibweise colour. Die Hoffnung der Angreifer dabei: Jemand installiert das Paket versehentlich mit der falschen Schreibweise. Inzwischen wurde das colourama-Paket gelöscht.

Malware ändert Bitcoin-Adressen in der Windows-Zwischenablage

Das manipulierte Paket ist mit dem Original weitgehend identisch. Allerdings ist in der Setup-Datei eine zusätzliche Funktion, die bei der Installation aufgerufen wird. Falls die Installation unter einem Windows-System stattfindet, wird eine VBScript-Datei nachgeladen und anschließend so im System installiert, dass sie bei jedem Login erneut gestartet wird.

Diese Skriptdatei überwacht anschließend die Windows-Zwischenablage. Wird dort eine Zeichenkette gefunden, die wie eine Bitcoin-Adresse aussieht, tauscht die Malware diese aus. Die Hoffnung dabei dürfte sein, dass Anwender bei Bitcoin-Zahlungen diese dadurch unbewusst an die Angreifer schicken.

Der Erfolg hielt sich offenbar bislang in Grenzen: Auf der entsprechenden Bitcoin-Adresse gingen bislang Zahlungen von umgerechnet etwa 33 Euro ein.

Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. Im vergangenen Jahr entdeckte das slowakische Cert beispielsweise zahlreiche Pakete, die Tippfehler von bekannten Paketnamen ausnutzten und die Informationen über das System an einen chinesischen Server schickten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (-60%) 23,99€
  2. (-79%) 5,99€
  3. 29,99€
  4. (-28%) 17,99€

Folgen Sie uns
       


Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch)

Der Befehl: "Mehr Kaffee!" zeigt tatsächlich mehr Kaffee.

Brett Butterfield von Adobe zeigt KI-Bildersuche per Sprache (englisch) Video aufrufen
Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /