• IT-Karriere:
  • Services:

Python: Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel

In der Python-Paketverwaltung PyPi waren zwei Bibliotheken gelistet, die Schadsoftware enthielten. Über Namensähnlichkeiten mit beliebten Bibliotheken versuchten sie, den Entwicklern SSH- und GPG-Schlüssel zu stehlen. Eine Bibliothek war fast ein Jahr auf PyPi gelistet.

Artikel veröffentlicht am ,
Ob das die richtige Bibliothek ist?
Ob das die richtige Bibliothek ist? (Bild: StockSnap/Pixabay)

In der Python-Paketverwaltung PyPi (Python Package Index) waren zwei Python-Bibliotheken gelistet, die Schadsoftware enthielten. Beide stammen vom gleichen Entwickler und imitieren populäre Python-Bibliotheken. Die Schadbibliotheken haben es auf SSH- und GPG-Schlüssel abgesehen. Entdeckt wurden die Bibliotheken durch den Softwareentwickler Lukas Martini. Beide wurden mittlerweile vom PyPi-Sicherheitsteam entfernt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. InnoGames GmbH, Hamburg
  2. Schöck Bauteile GmbH, Baden-Baden

Fast ein Jahr war die Schadbibliothek "jeIlyfish" im PyPi gelistet. Die Angreifer benutzten Typosquatting um der beliebten Bibliothek "jellyfish" zu gleichen. Statt einem L ist der dritte Buchstabe ein I. Das zweite Paket versucht, über den Namen "python3-dateutil" die Bibliothek "dateutil" zu imitieren. Letzteres war nur drei Tage online. Beide wurden am 1. Dezember von Martini entdeckt und noch am gleichen Tag entfernt.

Der Schadcode befindet sich nur in der Bibliothek jeIlyfish, die jedoch von python3-dateutil importiert wurde. JeIlyfish lädt die eigentliche Schadunktion aus dem Internet nach, sucht nach SSH- und GPG-Schlüsseln und sendet diese an eine IP-Adresse: http://68.183.212.246:32258. Zudem liest es eine Reihe von Verzeichnissen aus, darunter das PyCharm-Projektverzeichnis sowie das Homeverzeichnis. Darüber versuchen die Angreifer wahrscheinlich herauszufinden, zu welchen Projekten die Schlüssel gehören könnten.

Abgesehen von dem Schadcode waren die beiden Typosquatting-Pakete mit den Bibliotheken, für die sie sich ausgaben, identisch. Beide Schadbibliotheken stammen zudem vom gleichen Entwickler. Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. In den vergangenen Jahren wurden mehrmals entsprechende Pakete entdeckt. Auch ungepflegte Pakete können übernommen und mit Schadsoftware versehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 69,99€ (Vergleichspreis 105,98€)
  2. 34,90€ (Vergleichspreis 44,85€)
  3. 25€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis mit Saturn, Vergleichspreis 40€
  4. 18€ (ohne Prime oder unter 29€ zzgl. Versand) - Vergleichspreis 35,99€

Zoj 09. Dez 2019 / Themenstart

Und deshalb verstehe ich nicht, wie jemand heute noch Vorbehalte gegenüber OSS haben...

Kommentieren


Folgen Sie uns
       


Smarte Jeansjacke von Levis ausprobiert

Das Trucker Jacket mit Googles Jacquard-Technologie hat im Bund des linken Ärmels eingewebte leitende Fasern. Diese bilden ein Touchpad, das wir uns im Test genauer angeschaut haben.

Smarte Jeansjacke von Levis ausprobiert Video aufrufen
Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Elektroautos in Tiefgaragen: Was tun, wenn's brennt?
Elektroautos in Tiefgaragen
Was tun, wenn's brennt?

Was kann passieren, wenn Elektroautos in einer Tiefgarage brennen? Während Brandschutzexperten dringend mehr Forschung fordern und ein Parkverbot nicht ausschließen, wollen die Bundesländer die Garagenverordnung verschärfen.
Eine Analyse von Friedhelm Greis

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

    •  /