Ein Bedrohungsakteur mit dem Namen Lolip0p hat drei betrügerische Pakete in das Python Package Index (PyPI) Repository hochgeladen, die Malware auf kompromittierten Entwicklersystemen absetzen sollen.
Die Pakete mit den Namen colorslib (Versionen 4.6.11 und 4.6.12), httpslib (Versionen 4.6.9 und 4.6.11) und libhttps (Version 4.6.12) wurden vom Autor zwischen dem 7. Januar 2023 und dem 12. Januar 2023 hochgeladen. Seitdem wurden sie aus dem PyPI entfernt, aber nicht bevor sie insgesamt über 550 Mal heruntergeladen wurden.
Die Module enthalten identische Setup-Skripte, die die PowerShell aufrufen und eine bösartige Binärdatei („Oxzy.exe„) ausführen, die auf Dropbox gehostet wird, wie Fortinet in einem letzte Woche veröffentlichten Bericht bekannt gab.
Sobald die ausführbare Datei gestartet ist, wird eine weitere Binärdatei namens update.exe abgerufen, die im temporären Ordner von Windows („%USER%\AppData\Local\Temp\“) ausgeführt wird.
update.exe wird von Antiviren-Anbietern auf VirusTotal als Informationsdieb bezeichnet, der auch in der Lage ist, zusätzliche Binärdateien abzulegen, von denen eine von Microsoft als Wacatac erkannt wird.
Der Windows-Hersteller beschreibt den Trojaner als eine Bedrohung, die „eine Reihe von Aktionen nach Wahl eines böswilligen Hackers auf deinem PC durchführen kann“, einschließlich der Verbreitung von Ransomware und anderen Schadprogrammen.
„Der Autor stellt jedes Paket als legitim und sauber dar, indem er eine überzeugende Projektbeschreibung beifügt“, sagt Jin Lee, Forscher bei Fortinet FortiGuard Labs. „Diese Pakete laden jedoch eine bösartige Binärdatei herunter und führen sie aus“.
Die Enthüllung erfolgt nur wenige Wochen nachdem Fortinet zwei weitere bösartige Pakete namens Shaderz und aioconsol aufgedeckt hat, die ähnliche Fähigkeiten haben, um vertrauliche persönliche Daten zu sammeln und auszuspionieren.
Die Entdeckungen zeigen einmal mehr den stetigen Strom bösartiger Aktivitäten in beliebten Open-Source-Paket-Repositories, bei denen Bedrohungsakteure die Vertrauensbeziehungen ausnutzen, um verdorbenen Code einzuschleusen und so die Reichweite der Infektionen zu vergrößern und auszuweiten.
Nutzer/innen sollten beim Herunterladen und Ausführen von Paketen von nicht vertrauenswürdigen Autoren vorsichtig sein, um nicht Opfer von Angriffen aus der Lieferkette zu werden.