• IT-Karriere:
  • Services:

PyPi-Malware: Britisches Python-Paket klaut Bitcoin

In der Python-Paketverwaltung PyPi wurde eine Software gefunden, die versucht, Bitcoin-Adressen in der Windows-Zwischenablage zu manipulieren. Dabei versuchten die Autoren des Pakets colourama, Verwechslungen von US-englischer und britischer Schreibweise auszunutzen.

Artikel veröffentlicht am , Hanno Böck
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus.
Das britische Englisch unterscheidet sich bei einigen Schreibweisen vom US-amerikanischen Englisch. Das nutzten Malware-Autoren in der Python-Paketverwaltung aus. (Bild: Prabhu Jay/Wikimedia Commons)

Ein Sicherheitsforscher hat in der Python-Paketverwaltung PyPi einen Malware-Dropper gefunden, der versucht, mit einem besonderen Trick Kryptowährung zu stehlen: Bitcoin-Adressen in der Zwischenablage werden zu Adressen des Angreifers umgeschrieben. Die Malware war unter dem Namen colourama in PyPi zu finden, eine Abwandlung eines bekannten Pakets namens colorama.

Stellenmarkt
  1. Statistisches Landesamt Rheinland-Pfalz, Bad Ems
  2. Software AG, Darmstadt, Saarbrücken

Das legitime Paket und das bösartige unterscheiden sich durch die Schreibweise: Während das Original das Wort color in US-Schreibweise verwendet, nutzt das bösartige Paket die britische Schreibweise colour. Die Hoffnung der Angreifer dabei: Jemand installiert das Paket versehentlich mit der falschen Schreibweise. Inzwischen wurde das colourama-Paket gelöscht.

Malware ändert Bitcoin-Adressen in der Windows-Zwischenablage

Das manipulierte Paket ist mit dem Original weitgehend identisch. Allerdings ist in der Setup-Datei eine zusätzliche Funktion, die bei der Installation aufgerufen wird. Falls die Installation unter einem Windows-System stattfindet, wird eine VBScript-Datei nachgeladen und anschließend so im System installiert, dass sie bei jedem Login erneut gestartet wird.

Diese Skriptdatei überwacht anschließend die Windows-Zwischenablage. Wird dort eine Zeichenkette gefunden, die wie eine Bitcoin-Adresse aussieht, tauscht die Malware diese aus. Die Hoffnung dabei dürfte sein, dass Anwender bei Bitcoin-Zahlungen diese dadurch unbewusst an die Angreifer schicken.

Der Erfolg hielt sich offenbar bislang in Grenzen: Auf der entsprechenden Bitcoin-Adresse gingen bislang Zahlungen von umgerechnet etwa 33 Euro ein.

Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. Im vergangenen Jahr entdeckte das slowakische Cert beispielsweise zahlreiche Pakete, die Tippfehler von bekannten Paketnamen ausnutzten und die Informationen über das System an einen chinesischen Server schickten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. ab 1€
  2. 31,49€
  3. (-83%) 9,99€

Folgen Sie uns
       


Projekt Mare - DLR

Helga und Zohar sind zwei anthropomorphe Phantome, ihre Körper simulieren die Struktur des menschlichen Gewebes. DLR-Forscher wollen messen, wie sich die Strahlung auf den Körper auswirkt.

Projekt Mare - DLR Video aufrufen
    •  /