Cybersecurity-Forscher haben zwei schädliche Pakete im Python Package Index (PyPI)-Repository entdeckt, die eine Technik namens DLL-Side-Loading nutzen, um von Sicherheitssoftware unentdeckt zu bleiben und bösartigen Code auszuführen.

Die Pakete namens NP6HelperHttptest und NP6HelperHttper wurden jeweils 537 bzw. 166 Mal heruntergeladen, bevor sie entfernt wurden.

„Die neueste Entdeckung ist ein Beispiel für DLL-Sideloading, das von einem Open-Source-Paket ausgeführt wird und darauf hinweist, dass sich das Ausmaß von Bedrohungen der Software-Wertschöpfungskette erweitert“, sagte der Forscher Petar Kirhmajer von ReversingLabs in einem Bericht, der mit The Hacker News geteilt wurde.

Der Name NP6 ist bemerkenswert, da er sich auf eine legitime Marketing-Automatisierungslösung von ChapsVision bezieht. Die gefälschten Pakete sind Typosquats von NP6HelperHttp und NP6HelperConfig, die Hilfswerkzeuge sind, die von einem Mitarbeiter von ChapsVision auf PyPI veröffentlicht wurden.

Das Ziel ist es, Entwickler zu täuschen, die nach NP6HelperHttp und NP6HelperConfig suchen, um ihre schädlichen Gegenstücke herunterzuladen.

Die beiden Bibliotheken enthalten ein setup.py-Skript, das entwickelt wurde, um zwei Dateien herunterzuladen: ein tatsächliches ausführbares Programm von der in Peking ansässigen Kingsoft Corporation („ComServer.exe“), das anfällig für DLL-Side-Loading ist, und die bösartige DLL, die geladen werden soll („dgdeskband64.dll“).

Beim Side-Loading der DLL ist das Ziel, die Erkennung des bösartigen Codes zu umgehen, wie bereits zuvor im Fall eines npm-Pakets namens aabquerys beobachtet, das auch die gleiche Technik nutzte, um Code auszuführen, der in der Lage ist, einen Remote-Zugriffstrojaner bereitzustellen.

Die DLL ruft eine von Angreifern kontrollierte Domain („us.archive-ubuntu[.]top“) auf, um eine GIF-Datei abzurufen, die eigentlich ein Stück Shellcode für einen Cobalt Strike Beacon ist, ein Post-Exploitation-Toolkit, das für Red Teaming verwendet wird.

Es gibt Hinweise darauf, dass die Pakete Teil einer breiter angelegten Kampagne sind, die die Verteilung ähnlicher ausführbarer Dateien beinhaltet, die anfällig für DLL-Side-Loading sind.

„Entwicklungsorganisationen müssen sich der Bedrohungen im Zusammenhang mit der Sicherheit der Wertschöpfungskette und Open-Source-Paket-Repositories bewusst sein“, sagte der Sicherheitsforscher Karlo Zanki.

„Selbst wenn sie keine Open-Source-Paket-Repositories verwenden, bedeutet das nicht, dass Cyberkriminelle sie nicht missbrauchen, um Unternehmen und ihre Softwareprodukte und -tools zu imitieren.“