Bösartige Go-Binärdatei mittels Steganografie in PyPI verteilt

Am 10. Mai 2024 alarmierte die Risikodetektionsplattform von Phylum über eine verdächtige Veröffentlichung auf PyPI. Das Paket namens requests-darwin-lite erschien als ein Fork des beliebten requests-Pakets, jedoch mit einer kritischen Abweichung: einer bösartigen Go-Binärdatei, die in eine große Version des tatsächlichen requests-Seitenleisten-Logos (PNG) eingebettet war.

Dieses bösartige Paket nutzt ein setuptools-Attribut namens cmdclass, um verschiedene Aktionen während der Paketinstallation anzupassen. In diesem Fall wird das Attribut verwendet, um während der Installation unter macOS-Systemen eine bösartige Go-Binärdatei auszuführen.

Der Angriff erfolgt durch die Dekodierung und Ausführung eines Base64-codierten Befehls, der die UUID des Systems sammelt. Wenn diese UUID mit einer vordefinierten Übereinstimmung überprüft wird, extrahiert das Skript eine Binärdatei aus einer PNG-Datei und führt sie aus. Diese Datei, die in der bösartigen Version von requests-sidebar-large.png eingebettet ist, ist etwa 17 MB groß und enthält die bösartige Go-Binärdatei.

Die Angreifer nutzten Steganografie, um die bösartige Binärdatei in der PNG-Datei zu verstecken. Diese Technik ist zwar nicht neu, aber effektiv, da die zusätzlichen Daten das normale Rendering des Bildes nicht beeinträchtigen und somit unbemerkt bleiben.

Es wird empfohlen das Paket requests-darwin-lite mind. auf Version 2.28.1 upzudaten oder wenn es geht das Paket zu meiden.

Related Posts

Man-In-The-Middle Schwachstelle in FIDO2-Authentifizierung

FIDO2, entwickelt von der Fast Identity Online (FIDO) Alliance, stellt eine fortschrittliche Authentifizierungslösung dar, die traditionelle Passwörter durch physische oder eingebettete Schlüssel ersetzt. Diese Technologie gilt allgemein als widerstandsfähig gegen Man-in-the-Middle (MITM)-, Phishing- und Session-Hijacking-Angriffe. Eine Studie zeigt jedoch, dass diese Schutzmaßnahmen nicht unüberwindbar sind.

Read More

Juniper Junos OS und Junos OS Schwachstellen in OpenSSH

Juniper Networks hat ein Advisory für Junos OS und Junos OS Evolved veröffentlicht, die auf mehrere kritische Schwachstellen in OpenSSH v7.5p1 hinweist, die in diesen Betriebssystemen verwendet wird. Die betroffenen Produktversionen sind Junos OS ab 19.4R1 und Junos OS Evolved ab 22.3R1.

Read More

Arbitrary File Upload Schwachstelle in WordPress LMS Plugin Learnpress

Eine kritische Sicherheitslücke wurde in dem WordPress LMS Plugin LearnPress entdeckt, die es Angreifern ermöglicht, beliebige Dateien auf den Server hochzuladen. Die Schwachstelle CVE-2024-4397 betrifft alle Versionen des Plugins bis einschließlich Version 4.2.6.5 und wurde mit einem hohen CVSS-Score von 8.8 bewertet.

Read More