GitHub: über 100.000 Forks mit Malware PyPi Dependencies

1.3.24: GitHub steht vor einem signifikanten Problem mit automatischen böswilligen Forks, die auf Malware-Abhängigkeiten aus dem Python Package Index (PyPI) basieren. Dieses Phänomen begann im Mai 2023, als mehrere schädliche Pakete auf PyPI hochgeladen wurden. Diese Pakete verbreiteten sich dann durch in Forks beliebter GitHub-Repositorys eingefügte os.system(pip install package)-Aufrufe. Die Kampagne hat sich mittlerweile ausgeweitet und betrifft mindestens 100.000 kompromittierte Repositorys. Die Malware verbreitet sich durch geklonte, legitime Repositorys, die mit Malware-Loadern infiziert und anschließend tausendfach geforkt werden.

Der PyPI-Repository ist bekannt für seine mangelnden Sicherheitsüberprüfungen oder -audits, was es jedem ermöglicht, Module ohne Verifizierung hochzuladen. Dies führte zur Verbreitung von Malware-Paketen wie distrib, djanga und easyinstall, die dazu verwendet wurden, sensible Informationen an externe Hosts zu senden, ausführbare Dateien herunterzuladen und andere bösartige Aktivitäten durchzuführen.

Entwicklerinnen und Entwickler werden dazu angehalten, wachsam zu sein, wenn sie Pakete aus PyPI installieren. Sie sollten die Authentizität von Paketen überprüfen, vertrauenswürdige Quellen für die Installation von Abhängigkeiten nutzen und Sicherheitsmaßnahmen wie automatisiertes Scannen und Überwachen implementieren, um Angriffe in ihrer Software-Lieferkette zu erkennen und zu verhindern.

Das Problem wurde auch in anderen Open-Source-Software-Repositories beobachtet, wo Angreifer Pakete kompromittiert haben, um Zugriff auf Maschinen und Produktionsumgebungen zu erhalten, sensible Daten zu stehlen, Trojaner herunterzuladen und Kryptojacking durchzuführen. Angreifer verwenden häufig Techniken wie Typosquatting, um Entwickler dazu zu verleiten, bösartige Pakete zu installieren.

GitHub arbeitet an Funktionen, um dieses Problem anzugehen, einschließlich der Einführung von Malware-Erkennung und eines Ereignisprotokolls als Grundlage für Benachrichtigungen. Zudem wurden Anstrengungen unternommen, um bösartige Pakete automatisch zu deinstallieren, sobald sie identifiziert werden.

Als Reaktion auf dieses Problem haben Forscher Techniken zur Erkennung und Analyse von Malware in GitHub-Forks entwickelt, was zur Entdeckung und Stilllegung von Repositories geführt hat, die Malware hosten.

Related Posts

Wordpress NotificationX Plugin - kritische SQL Injection Schwachstelle

27.2.24: Das beliebte WordPress-Plugin NotificationX – Best FOMO, Social Proof, WooCommerce Sales Popup & Notification Bar Plugin With Elementor ist anfällig für eine SQL-Injection-Schwachstelle ohne Authentifizierung durch den ’type’-Parameter in allen Versionen bis einschließlich 2.8.2. Die Schwachstelle CVE-2024-1698 mit CVSS Score 9.8 / 10 entsteht durch unzureichendes Escaping von benutzergesteuerten Parametern und mangelnde Vorbereitung in SQL-Abfragen, was Angreifern ermöglicht, zusätzliche SQL-Abfragen anzuhängen, um sensible Informationen aus der Datenbank zu extrahieren. Es wird empfohlen, auf Version 2.8.3 oder neuer zu aktualisieren, um diese Schwachstelle zu beheben.

Read More

Hackerangriff legt Hochschule Kempten lahm

Am 27. Februar 2024 wurde die Hochschule Kempten zum Ziel eines schwerwiegenden Hackerangriffs. Trotz umfangreicher Sicherheitsmaßnahmen gelang es Cyberkriminellen, in Teile der IT-Infrastruktur einzudringen.

Read More

Kritische Sicherheitslücke im WordPress WP Media Folder Plugin

Das WordPress WP Media Folder Plugin von JoomUnited ist anfällig für Arbitrary File Upload (AFU). Das WordPress WP Media Folder Plugin bietet eine Reihe von Funktionen zur effizienten Verwaltung von Mediendateien in WordPress. Die gefundene Schwachstelle ermöglicht es einem bösartigen Benutzer, beliebige Dateien auf eine Website hochzuladen, die dieses Plugin verwendet, was potenziell schwerwiegende Folgen haben kann.

Read More