Python: Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel

In der Python-Paketverwaltung PyPi waren zwei Bibliotheken gelistet, die Schadsoftware enthielten. Über Namensähnlichkeiten mit beliebten Bibliotheken versuchten sie, den Entwicklern SSH- und GPG-Schlüssel zu stehlen. Eine Bibliothek war fast ein Jahr auf PyPi gelistet.

Artikel veröffentlicht am ,
Ob das die richtige Bibliothek ist?
Ob das die richtige Bibliothek ist? (Bild: StockSnap/Pixabay)

In der Python-Paketverwaltung PyPi (Python Package Index) waren zwei Python-Bibliotheken gelistet, die Schadsoftware enthielten. Beide stammen vom gleichen Entwickler und imitieren populäre Python-Bibliotheken. Die Schadbibliotheken haben es auf SSH- und GPG-Schlüssel abgesehen. Entdeckt wurden die Bibliotheken durch den Softwareentwickler Lukas Martini. Beide wurden mittlerweile vom PyPi-Sicherheitsteam entfernt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Fast ein Jahr war die Schadbibliothek "jeIlyfish" im PyPi gelistet. Die Angreifer benutzten Typosquatting um der beliebten Bibliothek "jellyfish" zu gleichen. Statt einem L ist der dritte Buchstabe ein I. Das zweite Paket versucht, über den Namen "python3-dateutil" die Bibliothek "dateutil" zu imitieren. Letzteres war nur drei Tage online. Beide wurden am 1. Dezember von Martini entdeckt und noch am gleichen Tag entfernt.

Der Schadcode befindet sich nur in der Bibliothek jeIlyfish, die jedoch von python3-dateutil importiert wurde. JeIlyfish lädt die eigentliche Schadunktion aus dem Internet nach, sucht nach SSH- und GPG-Schlüsseln und sendet diese an eine IP-Adresse: http://68.183.212.246:32258. Zudem liest es eine Reihe von Verzeichnissen aus, darunter das PyCharm-Projektverzeichnis sowie das Homeverzeichnis. Darüber versuchen die Angreifer wahrscheinlich herauszufinden, zu welchen Projekten die Schlüssel gehören könnten.

Abgesehen von dem Schadcode waren die beiden Typosquatting-Pakete mit den Bibliotheken, für die sie sich ausgaben, identisch. Beide Schadbibliotheken stammen zudem vom gleichen Entwickler. Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. In den vergangenen Jahren wurden mehrmals entsprechende Pakete entdeckt. Auch ungepflegte Pakete können übernommen und mit Schadsoftware versehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Entwickler
ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen

Google hat ChatGPT mit Fragen aus seinem Entwickler-Bewerbungsgespräch gefüttert. Die KI könne demnach eine Einsteigerposition erhalten.

Entwickler: ChatGPT könnte Google-Job mit 183.000 Dollar Gehalt kriegen
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Windkraft-Ausbauplan: Scholz will vier bis fünf neue Windräder pro Tag
    Windkraft-Ausbauplan
    Scholz will vier bis fünf neue Windräder pro Tag

    Die Energiewende in Deutschland soll durch einen massiven Ausbau der Windkraft-Anlagen vorangetrieben werden. Bundeskanzler Scholz will Tempo machen.

  3. Telekom-Internet-Booster: Hybridzugang der Telekom mit 5G ist verfügbar
    Telekom-Internet-Booster
    Hybridzugang der Telekom mit 5G ist verfügbar

    Die 5G-Antenne der Telekom hängt an einem zehn Meter langen Flachbandkabel. Die zugesagte Datenrate reicht bis 300 MBit/s im Download.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Logitech G915 Lightspeed 219,89€ • ASUS ROG Strix Scope Deluxe 107,89€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate Weekend Sale • MindStar: be quiet! Dark Rock 4 49€, Fastro MS200 2TB 95€ • Mindfactory DAMN-Deals: Grakas & CPUS u. a. AMD Ryzen 7 5700X 175€ • PCGH Cyber Week [Werbung]
    •  /