Python: Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel

In der Python-Paketverwaltung PyPi waren zwei Bibliotheken gelistet, die Schadsoftware enthielten. Über Namensähnlichkeiten mit beliebten Bibliotheken versuchten sie, den Entwicklern SSH- und GPG-Schlüssel zu stehlen. Eine Bibliothek war fast ein Jahr auf PyPi gelistet.

Artikel veröffentlicht am ,
Ob das die richtige Bibliothek ist?
Ob das die richtige Bibliothek ist? (Bild: StockSnap/Pixabay)

In der Python-Paketverwaltung PyPi (Python Package Index) waren zwei Python-Bibliotheken gelistet, die Schadsoftware enthielten. Beide stammen vom gleichen Entwickler und imitieren populäre Python-Bibliotheken. Die Schadbibliotheken haben es auf SSH- und GPG-Schlüssel abgesehen. Entdeckt wurden die Bibliotheken durch den Softwareentwickler Lukas Martini. Beide wurden mittlerweile vom PyPi-Sicherheitsteam entfernt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Mitarbeiter für die Funktionsstelle IT-Prozesse (m/w/d)
    Medizinischer Dienst Niedersachsen, Hannover
  2. Teamleiter (m/w/d) Hybrid Data Center
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Fast ein Jahr war die Schadbibliothek "jeIlyfish" im PyPi gelistet. Die Angreifer benutzten Typosquatting um der beliebten Bibliothek "jellyfish" zu gleichen. Statt einem L ist der dritte Buchstabe ein I. Das zweite Paket versucht, über den Namen "python3-dateutil" die Bibliothek "dateutil" zu imitieren. Letzteres war nur drei Tage online. Beide wurden am 1. Dezember von Martini entdeckt und noch am gleichen Tag entfernt.

Der Schadcode befindet sich nur in der Bibliothek jeIlyfish, die jedoch von python3-dateutil importiert wurde. JeIlyfish lädt die eigentliche Schadunktion aus dem Internet nach, sucht nach SSH- und GPG-Schlüsseln und sendet diese an eine IP-Adresse: http://68.183.212.246:32258. Zudem liest es eine Reihe von Verzeichnissen aus, darunter das PyCharm-Projektverzeichnis sowie das Homeverzeichnis. Darüber versuchen die Angreifer wahrscheinlich herauszufinden, zu welchen Projekten die Schlüssel gehören könnten.

Abgesehen von dem Schadcode waren die beiden Typosquatting-Pakete mit den Bibliotheken, für die sie sich ausgaben, identisch. Beide Schadbibliotheken stammen zudem vom gleichen Entwickler. Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. In den vergangenen Jahren wurden mehrmals entsprechende Pakete entdeckt. Auch ungepflegte Pakete können übernommen und mit Schadsoftware versehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Musterfeststellungsklage
Parship kann eine Kündigungswelle erwarten

Die Verbraucherzentrale ruft zur Kündigung bei Parship und zur Teilnahme an einer Musterfeststellungsklage auf. Doch laut Betreiber PE Digital ist das aussichtslos.

Musterfeststellungsklage: Parship kann eine Kündigungswelle erwarten
Artikel
  1. Open Source: Antworten Sie innerhalb von 24 Stunden
    Open Source
    "Antworten Sie innerhalb von 24 Stunden"

    Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

  2. Entwickler gesucht: Blizzard arbeitet an einem Survivalgame
    Entwickler gesucht
    Blizzard arbeitet an einem Survivalgame

    Laut Firmenchef ist es schon spielbar: Blizzard hat ein neues Serienuniversum angekündigt - in dem es möglicherweise Fahrräder gibt.

  3. Elektro-Pick-up: Neuer Tesla-Cybertruck-Prototyp gefilmt
    Elektro-Pick-up
    Neuer Tesla-Cybertruck-Prototyp gefilmt

    In einem Video wird ein neuer Cybertruck-Prototyp von Tesla im Detail gezeigt. Es stammt vermutlich aus der Gigafactory in Texas.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 Ti 8GB 1.039€ • RX 6900XT 16 GB für 1.495€ • Acer Curved Gaming-Monitor 27" 259€ • RX 6800XT 16GB 1.229€ • Corsair 16GB DDR4-4000 111,21€ • 10% auf Gaming bei Ebay (u. a. Gigabyte 34" Curved UWQHD 144Hz 429,30€) • Razer Gaming-Stuhl 179,99€ [Werbung]
    •  /