• IT-Karriere:
  • Services:

Python: Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel

In der Python-Paketverwaltung PyPi waren zwei Bibliotheken gelistet, die Schadsoftware enthielten. Über Namensähnlichkeiten mit beliebten Bibliotheken versuchten sie, den Entwicklern SSH- und GPG-Schlüssel zu stehlen. Eine Bibliothek war fast ein Jahr auf PyPi gelistet.

Artikel veröffentlicht am ,
Ob das die richtige Bibliothek ist?
Ob das die richtige Bibliothek ist? (Bild: StockSnap/Pixabay)

In der Python-Paketverwaltung PyPi (Python Package Index) waren zwei Python-Bibliotheken gelistet, die Schadsoftware enthielten. Beide stammen vom gleichen Entwickler und imitieren populäre Python-Bibliotheken. Die Schadbibliotheken haben es auf SSH- und GPG-Schlüssel abgesehen. Entdeckt wurden die Bibliotheken durch den Softwareentwickler Lukas Martini. Beide wurden mittlerweile vom PyPi-Sicherheitsteam entfernt. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Hays AG, München
  2. FLYERALARM Digital GmbH, Würzburg

Fast ein Jahr war die Schadbibliothek "jeIlyfish" im PyPi gelistet. Die Angreifer benutzten Typosquatting um der beliebten Bibliothek "jellyfish" zu gleichen. Statt einem L ist der dritte Buchstabe ein I. Das zweite Paket versucht, über den Namen "python3-dateutil" die Bibliothek "dateutil" zu imitieren. Letzteres war nur drei Tage online. Beide wurden am 1. Dezember von Martini entdeckt und noch am gleichen Tag entfernt.

Der Schadcode befindet sich nur in der Bibliothek jeIlyfish, die jedoch von python3-dateutil importiert wurde. JeIlyfish lädt die eigentliche Schadunktion aus dem Internet nach, sucht nach SSH- und GPG-Schlüsseln und sendet diese an eine IP-Adresse: http://68.183.212.246:32258. Zudem liest es eine Reihe von Verzeichnissen aus, darunter das PyCharm-Projektverzeichnis sowie das Homeverzeichnis. Darüber versuchen die Angreifer wahrscheinlich herauszufinden, zu welchen Projekten die Schlüssel gehören könnten.

Abgesehen von dem Schadcode waren die beiden Typosquatting-Pakete mit den Bibliotheken, für die sie sich ausgaben, identisch. Beide Schadbibliotheken stammen zudem vom gleichen Entwickler. Dass in PyPi und in anderen Paketmanagement-Systemen Schadsoftware gefunden wird, die darauf baut, dass sie versehentlich durch Namensverwechslungen installiert wird, ist keine Neuigkeit. In den vergangenen Jahren wurden mehrmals entsprechende Pakete entdeckt. Auch ungepflegte Pakete können übernommen und mit Schadsoftware versehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Zoj 09. Dez 2019

Und deshalb verstehe ich nicht, wie jemand heute noch Vorbehalte gegenüber OSS haben...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
    •  /