Abo
  • IT-Karriere:

PyPi-Malware: Britisches Python-Paket klaut Bitcoin

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen.

Artikel veröffentlicht am , Hanno Böck
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus.
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus. (Bild: Prabhu Jay/Wikimedia Commons)

Ein Sicherheitsforscher hat in der Python-Paketverwaltung PyPi einen Malware-Dropper gefunden, der versucht, mit einem besonderen Trick Kryptowährung zu stehlen: Bitcoin-Adressen in der Zwischenablage werden zu Adressen des Angreifers umgeschrieben. Die Malware war unter dem Namen colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.

Stellenmarkt
  1. Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
  2. Hays AG, Hamburg

Das legitime Paket und das bösartige unterscheiden sich durch die Schreibweise: Während das Original das Wort color in US-Schreibweise verwendet, nutzt das bösartige Paket die britische Schreibweise colour. Die Hoffnung der Angreifer dabei: Jemand installiert das Paket versehentlich mit der falschen Schreibweise. Inzwischen wurde das colourama-Paket gelöscht.

Malware ändert Bitcoin-Adressen in der Windows-Zwischenablage

Das manipulierte Paket ist mit dem Original weitgehend identisch. Allerdings ist in der Setup-Datei eine zusätzliche Funktion, die bei der Installation aufgerufen wird. Falls die Installation unter einem Windows-System stattfindet, wird eine VBScript-Datei nachgeladen und anschließend so im System installiert, dass sie bei jedem Login erneut gestartet wird.

Diese Skriptdatei überwacht anschließend die Windows-Zwischenablage. Wird dort eine Zeichenkette gefunden, die wie eine Bitcoin-Adresse aussieht, tauscht die Malware diese aus. Die Hoffnung dabei dürfte sein, dass Anwender bei Bitcoin-Zahlungen diese dadurch unbewusst an die Angreifer schicken.

Der Erfolg hielt sich offenbar bislang in Grenzen: Auf der entsprechenden Bitcoin-Adresse gingen bislang Zahlungen von umgerechnet etwa 33 Euro ein.

Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. Im vergangenen Jahr entdeckte das slowakische Cert beispielsweise zahlreiche Pakete, die Tippfehler von bekannten Paketnamen ausnutzten und die Informationen über das System an einen chinesischen Server schickten.

Zu den Kommentaren springen
Meistgelesen
  1. Probefahrt mit Maxus EV80
    Der chinesische E-Transporter zum Kampfpreis
  2. Raspberry Pi 4
    "Der Pi 4 verlangt eigentlich nach einem Lüfter"
  3. Quartalsbericht
    Microsofts Cloud-Geschäft steigert Rekordumsatz
  4. Raumfahrt
    Galileo-Satellitennavigation ist vollständig ausgefallen
  5. Nach Unfall
    Wiener Verkehrsbetrieb stoppt autonome Busse
Anzeige
Hardware-Angebote
  2. täglich neue Deals bei Alternate.de
  3. 529,00€
  4. 274,00€
Kommentarübersicht

Folgen Sie uns
       
Noctuas passiver CPU-Kühler (Computex 2019)

Noctua zeigt den ersten passiven CPU-Kühler, welcher sogar einen achtkernigen Core i9-9900K auf Temperatur halten kann.

Noctuas passiver CPU-Kühler (Computex 2019) Video aufrufen
Datensicherheit
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen
Ricoh
Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ
Mobile Games
Dr. Mario World im Test: Spielspaß für Privatpatienten
Dr. Mario World im Test
Spielspaß für Privatpatienten

Schlimm süchtig machendes Gameplay, zuckersüße Grafik im typischen Nintendo-Stil und wunderbare Dudelmusik: Der Kampf von Dr. Mario World gegen böse Viren ist ein Mobile Game vom Feinsten - allerdings nur für Spieler mit gesunden Nerven oder tiefen Taschen.
Von Peter Steinlechner

  1. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  2. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor
  3. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /