Forscher haben eine Reihe von bösartigen Python-Paketen im offiziellen Software-Repository von Drittanbietern entdeckt, die darauf ausgelegt sind, AWS-Anmeldeinformationen und Umgebungsvariablen an einen öffentlich zugänglichen Endpunkt zu übermitteln.
Die Liste der Pakete umfasst loglib-modules, pyg-modules, pygrata, pygrata-utils und hkg-sol-utils, wie der Sonatype-Sicherheitsforscher Ax Sharma berichtet. Die Pakete und auch der Endpunkt wurden inzwischen entfernt.
„Einige dieser Pakete enthalten entweder Code, der deine Geheimnisse ausliest und exfiltriert, oder sie nutzen eine der Abhängigkeiten, die diese Aufgabe übernehmen“, sagte Sharma.
Der in „loglib-modules“ und „pygrata-utils“ eingeschleuste bösartige Code ermöglicht es, AWS-Anmeldeinformationen, Netzwerkschnittstelleninformationen und Umgebungsvariablen auszulesen und sie an einen entfernten Endpunkt zu exportieren: „hxxp://graph.pygrata[object 0]com:8000/upload„.
Beunruhigend ist, dass die Endpunkte, auf denen diese Informationen in Form von Hunderten von TXT-Dateien gespeichert sind, nicht durch eine Authentifizierungsbarriere geschützt sind, so dass jeder im Internet auf diese Anmeldedaten zugreifen kann.
Es ist bemerkenswert, dass Pakete wie „pygrata“ eines der beiden oben genannten Pakete als Abhängigkeit nutzen und den Code nicht selbst beherbergen. Die Identität des Angreifers und seine Motive bleiben unklar.
„Wurden die gestohlenen Zugangsdaten absichtlich im Internet veröffentlicht oder waren sie eine Folge schlechter OPSEC-Praktiken?“, fragte Sharma. „Sollte es sich um eine Art legitimen Sicherheitstest handeln, gibt es derzeit nicht viele Informationen, die den verdächtigen Charakter dieser Aktivität ausschließen.
Es ist nicht das erste Mal, dass ähnliche betrügerische Pakete in Open-Source-Repositories auftauchen. Vor genau einem Monat wurden zwei trojanisierte Python- und PHP-Pakete mit den Namen ctx und phpass in einem weiteren Fall eines Angriffs auf die Software-Lieferkette aufgedeckt.
Der in Istanbul ansässige Sicherheitsforscher Yunus Aydın übernahm die Verantwortung für die unerlaubten Änderungen und erklärte, er wolle lediglich „zeigen, wie dieser einfache Angriff mehr als 10 Millionen Nutzer und Unternehmen betrifft“.
In ähnlicher Weise hat ein deutsches Penetrationstestunternehmen namens Code White im letzten Monat zugegeben, dass es bösartige Pakete in das NPM-Register hochgeladen hat, um Abhängigkeitsverwirrungsangriffe auf seine Kunden in Deutschland realistisch nachzuahmen, von denen die meisten bekannte Medien-, Logistik- und Industrieunternehmen sind.