Abo
  • Services:

PyPi-Malware: Britisches Python-Paket klaut Bitcoin

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen.

Artikel veröffentlicht am , Hanno Böck
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus.
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus. (Bild: Prabhu Jay/Wikimedia Commons)

Ein Sicherheitsforscher hat in der Python-Paketverwaltung PyPi einen Malware-Dropper gefunden, der versucht, mit einem besonderen Trick Kryptowährung zu stehlen: Bitcoin-Adressen in der Zwischenablage werden zu Adressen des Angreifers umgeschrieben. Die Malware war unter dem Namen colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.

Stellenmarkt
  1. Hirschvogel Holding GmbH, Denklingen
  2. BWI GmbH, Nürnberg

Das legitime Paket und das bösartige unterscheiden sich durch die Schreibweise: Während das Original das Wort color in US-Schreibweise verwendet, nutzt das bösartige Paket die britische Schreibweise colour. Die Hoffnung der Angreifer dabei: Jemand installiert das Paket versehentlich mit der falschen Schreibweise. Inzwischen wurde das colourama-Paket gelöscht.

Malware ändert Bitcoin-Adressen in der Windows-Zwischenablage

Das manipulierte Paket ist mit dem Original weitgehend identisch. Allerdings ist in der Setup-Datei eine zusätzliche Funktion, die bei der Installation aufgerufen wird. Falls die Installation unter einem Windows-System stattfindet, wird eine VBScript-Datei nachgeladen und anschließend so im System installiert, dass sie bei jedem Login erneut gestartet wird.

Diese Skriptdatei überwacht anschließend die Windows-Zwischenablage. Wird dort eine Zeichenkette gefunden, die wie eine Bitcoin-Adresse aussieht, tauscht die Malware diese aus. Die Hoffnung dabei dürfte sein, dass Anwender bei Bitcoin-Zahlungen diese dadurch unbewusst an die Angreifer schicken.

Der Erfolg hielt sich offenbar bislang in Grenzen: Auf der entsprechenden Bitcoin-Adresse gingen bislang Zahlungen von umgerechnet etwa 33 Euro ein.

Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. Im vergangenen Jahr entdeckte das slowakische Cert beispielsweise zahlreiche Pakete, die Tippfehler von bekannten Paketnamen ausnutzten und die Informationen über das System an einen chinesischen Server schickten.



Anzeige
Spiele-Angebote
  1. (-44%) 11,11€
  2. (-85%) 8,99€
  3. (-83%) 3,33€
  4. 4,99€

Folgen Sie uns
       


Tiemo Wölken (SPD) zu Artikel 13

Der SPD-Europaabgeordnete Tiemo Wölken hofft darauf, dass das Europaparlament am 26. März 2019 den umstrittenen Artikel 13 noch ablehnt.

Tiemo Wölken (SPD) zu Artikel 13 Video aufrufen
EEG: Windkraft in Gefahr
EEG
Windkraft in Gefahr

Besitzer älterer Windenergieanlagen könnten bald ein Problem bekommen: Sie erhalten keine Förderung mehr. Das könnte sogar die Energiewende ins Wanken bringen.
Ein Bericht von Daniel Hautmann

  1. Windenergie Mister Windkraft will die Welt vor dem Klimakollaps retten
  2. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  3. Fistuca Der Wasserhammer hämmert leise

Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

    •  /