Am 10. Mai 2024 alarmierte die Risikodetektionsplattform von Phylum über eine verdächtige Veröffentlichung auf PyPI. Das Paket namens requests-darwin-lite
erschien als ein Fork des beliebten requests
-Pakets, jedoch mit einer kritischen Abweichung: einer bösartigen Go-Binärdatei, die in eine große Version des tatsächlichen requests
-Seitenleisten-Logos (PNG) eingebettet war.
Dieses bösartige Paket nutzt ein setuptools
-Attribut namens cmdclass
, um verschiedene Aktionen während der Paketinstallation anzupassen. In diesem Fall wird das Attribut verwendet, um während der Installation unter macOS-Systemen eine bösartige Go-Binärdatei auszuführen.
Der Angriff erfolgt durch die Dekodierung und Ausführung eines Base64-codierten Befehls, der die UUID des Systems sammelt. Wenn diese UUID mit einer vordefinierten Übereinstimmung überprüft wird, extrahiert das Skript eine Binärdatei aus einer PNG-Datei und führt sie aus. Diese Datei, die in der bösartigen Version von requests-sidebar-large.png
eingebettet ist, ist etwa 17 MB groß und enthält die bösartige Go-Binärdatei.
Die Angreifer nutzten Steganografie, um die bösartige Binärdatei in der PNG-Datei zu verstecken. Diese Technik ist zwar nicht neu, aber effektiv, da die zusätzlichen Daten das normale Rendering des Bildes nicht beeinträchtigen und somit unbemerkt bleiben.
Es wird empfohlen das Paket requests-darwin-lite mind. auf Version 2.28.1 upzudaten oder wenn es geht das Paket zu meiden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: