Python: Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel

In der Python-Paketverwaltung PyPi waren zwei Bibliotheken gelistet, die Schadsoftware enthielten. Über Namensähnlichkeiten mit beliebten Bibliotheken versuchten sie, den Entwicklern SSH- und GPG-Schlüssel zu stehlen. Eine Bibliothek war fast ein Jahr auf PyPi gelistet.

Artikel veröffentlicht am ,
Ob das die richtige Bibliothek ist?
Ob das die richtige Bibliothek ist? (Bild: StockSnap/Pixabay)

In der Python-Paketverwaltung PyPi (Python Package Index) waren zwei Python-Bibliotheken gelistet, die Schadsoftware enthielten. Beide stammen vom gleichen Entwickler und imitieren populäre Python-Bibliotheken. Die Schadbibliotheken haben es auf SSH- und GPG-Schlüssel abgesehen. Entdeckt wurden die Bibliotheken durch den Softwareentwickler Lukas Martini. Beide wurden mittlerweile vom PyPi-Sicherheitsteam entfernt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. (Senior) IT-Product Manager / Product Owner (m/w/d)
    NOVENTI Health SE, München
  2. Anwendungsentwickler im Bereich .NET / #C
    Solarlux GmbH, Melle
Detailsuche

Fast ein Jahr war die Schadbibliothek "jeIlyfish" im PyPi gelistet. Die Angreifer benutzten Typosquatting um der beliebten Bibliothek "jellyfish" zu gleichen. Statt einem L ist der dritte Buchstabe ein I. Das zweite Paket versucht, über den Namen "python3-dateutil" die Bibliothek "dateutil" zu imitieren. Letzteres war nur drei Tage online. Beide wurden am 1. Dezember von Martini entdeckt und noch am gleichen Tag entfernt.

Der Schadcode befindet sich nur in der Bibliothek jeIlyfish, die jedoch von python3-dateutil importiert wurde. JeIlyfish lädt die eigentliche Schadunktion aus dem Internet nach, sucht nach SSH- und GPG-Schlüsseln und sendet diese an eine IP-Adresse: http://68.183.212.246:32258. Zudem liest es eine Reihe von Verzeichnissen aus, darunter das PyCharm-Projektverzeichnis sowie das Homeverzeichnis. Darüber versuchen die Angreifer wahrscheinlich herauszufinden, zu welchen Projekten die Schlüssel gehören könnten.

Abgesehen von dem Schadcode waren die beiden Typosquatting-Pakete mit den Bibliotheken, für die sie sich ausgaben, identisch. Beide Schadbibliotheken stammen zudem vom gleichen Entwickler. Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. In den vergangenen Jahren wurden mehrmals entsprechende Pakete entdeckt. Auch ungepflegte Pakete können übernommen und mit Schadsoftware versehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Alder Lake
Intel will mit 241 Watt an die Spitze

Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
Ein Bericht von Marc Sauter

Alder Lake: Intel will mit 241 Watt an die Spitze
Artikel
  1. Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
    Rakuten
    "Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

    Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

  2. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

  3. Windows XP: Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben
    Windows XP
    Das Drehbuch für Dune wurde mit MS-DOS-Programm geschrieben

    Eric Roth verwendet seit Jahren den Movie Master für MS-DOS. Auch Dune schrieb er mit dem 30 Jahre alten Editor - und einer IBM Model M.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /