Ein inaktives Paket, das auf dem Python Package Index (PyPI) Repository verfügbar ist, wurde nach fast zwei Jahren aktualisiert, um Malware namens Nova Sentinel zu verbreiten.
Das Paket namens django-log-tracker wurde im April 2022 erstmals auf PyPI veröffentlicht, wie die Firma Phylum für die Sicherheit der Softwareversorgung feststellte, die am 21. Februar 2024 ein anomales Update der Bibliothek entdeckte.
Obwohl das verlinkte GitHub-Repository seit dem 10. April 2022 nicht aktualisiert wurde, deutet die Einführung eines bösartigen Updates auf einen wahrscheinlichen Kompromiss des PyPI-Kontos des Entwicklers hin.
Django-log-tracker wurde bis heute 3.866 Mal heruntergeladen, wobei die betrügerische Version (1.0.4) am Veröffentlichungsdatum 107 Mal heruntergeladen wurde. Das Paket ist nicht mehr zum Download auf PyPI verfügbar.
„In dem bösartigen Update hat der Angreifer das Paket weitgehend von seinem ursprünglichen Inhalt befreit und nur eine __init__.py- und example.py-Datei zurückgelassen“, so das Unternehmen.
Die Änderungen, einfach und selbsterklärend, umfassen das Abrufen einer ausführbaren Datei namens „Updater_1.4.4_x64.exe“ von einem Remote-Server („45.88.180[.]54“), gefolgt von deren Ausführung mithilfe der Python os.startfile()-Funktion.
Die Binärdatei wiederum ist mit Nova Sentinel, einer Stealer-Malware, die erstmals im November 2023 von Sekoia dokumentiert wurde, eingebettet und wurde als gefälschte Electron-Apps auf betrügerischen Websites angeboten, die Downloads von Videospielen anbieten.
„Was an diesem speziellen Fall interessant ist […] ist, dass der Angriffsvektor anscheinend ein versuchter Supply-Chain-Angriff über ein kompromittiertes PyPI-Konto war“, sagte Phylum.
„Wäre dies ein wirklich beliebtes Paket gewesen, hätte jedes Projekt, bei dem dieses Paket als Abhängigkeit aufgeführt ist, ohne eine spezifische Version oder eine flexible Version in ihrer Abhängigkeitsdatei angegeben zu haben, die neueste, bösartige Version dieses Pakets heruntergeladen.“