Sicherheitsforscher haben ein weiteres bösartiges PyPI-Paket (öffnet sich in einem neuen Tab) entdeckt, dessen Zweck darin besteht, sensible Daten von Personen zu stehlen und nicht authentifizierten Benutzern den Zugriff auf das kompromittierte Gerät zu ermöglichen.
Das Paket mit dem Namen „colorfool“ sei offensichtlich bösartig, hieß es. Es enthielt eine Python-Datei „verdächtiger Größe“, deren einzige Aufgabe darin bestand, eine andere Datei aus dem Internet herunterzuladen und auszuführen, während gleichzeitig sichergestellt wurde, dass sie vor dem Gerätebenutzer verborgen blieb.
„Die Funktion erschien daher sofort verdächtig und wahrscheinlich bösartig“, heißt es in dem Bericht.
Code „Ausleihen“
Erschwerend kommt hinzu, dass das in diesem Fall nicht einmal das einzige Verdächtige war. Die URL, von der das Paket die Nutzdaten herunterladen sollte, wurde verschlüsselt, was ein weiteres Warnsignal darstellt.
Das Python-Skript code.py verfügte über Funktionen zum Informationsdiebstahl wie Keylogging und Cookie-Exfiltration. Darüber hinaus war es in der Lage, Passwörter zu stehlen, Apps zu zerstören, Screenshots zu machen, Daten aus Krypto-Wallets zu stehlen und sogar die Webcam des Geräts zu nutzen.
Was dieses Paket von allen anderen bösartigen PyPI-Paketen unterscheidet, die Sicherheitsforscher fast täglich entdecken, ist seine Frankenstein-ähnliche Natur. Der Code wurde aus Teilen der Arbeit anderer Leute zusammengestellt, manchmal ohne Rücksicht auf Logik, Codefluss oder irgendetwas anderes, schlagen die Forscher vor. Als ob der Autor einfach Teile des Codes kopiert und einfügt und den überschüssigen Code oft dort belässt.
„Die Kombination aus Verschleierung und ungeheuerlichem Schadcode deutet darauf hin, dass es unwahrscheinlich ist, dass der gesamte Code von einer einzigen Entität entwickelt wurde“, sagten die Forscher. „Der endgültige Entwickler hat möglicherweise hauptsächlich den Code anderer Leute verwendet und ihn durch Kopieren und Einfügen hinzugefügt.“
Tatsächlich enthält der Code sogar das Spiel „Snake“, das offenbar keinem besonderen Zweck dient.
Für Forscher ist dies ein perfektes Beispiel für die „Demokratisierung der Cyberkriminalität“, bei der Bedrohungsakteure einfach Code von anderen Bedrohungsakteuren übernehmen und ihn in ihre Arbeit integrieren können.
Über: Die Registrierung (Öffnet in einem neuen Tab)