Een of meerdere cybercriminelen hebben drie schadelijke packages geüpload op PyPI (Python Package Index). De packages verspreiden infostealers op de systemen van developers.
PyPI is de populairste repository voor Python packages. Developers gebruiken packages als bouwstenen voor softwareprojecten.
De schadelijke packages werden ontdekt door een securityteam van Fortinet. ‘Colorslib’ en ‘httpslib’ verschenen op 7 januari, gevolgd door ‘libhttps’ op 12 januari. Alle packages hebben dezelfde auteur, ‘Lolip0p’.
Gericht op developers
De populariteit van PyPI is aantrekkelijk voor cybercriminelen die een groot aantal developers willen raken. Aanvallers vermommen kwaadaardige packages als legitieme software in de hoop dat developers de packages downloaden. Soms worden kwaadaardige packages omschreven als bekende projecten.
Securitybedrijf Phylum ontdekte eerder deze maand zes kwaadaardige packages op PyPI. In november vonden onderzoekers tientallen gevallen.
Tot overmaat van ramp heeft PyPI onvoldoende capaciteit om alle geüploade packages te analyseren. De meeste schadelijke bestanden worden gevonden na gebruikersmeldingen. Sommige kwaadaardige packages tellen honderden downloads voordat ze worden herkend.
De drie vondsten van Fortinet zijn goed vermomd. De uploader nam de tijd om geloofwaardige beschrijvingen toe te voegen. Aandacht voor details misleidt developers tot downloads.
Uitkijken
Alle drie de packages bevatten malwarebestand ‘setup.py’. Nadat een PowerShell script het bestand uitvoert wordt er een kwaadaardige executable (Oxyz.exe) opgehaald via een verdachte URL. Dit bestand steelt browserinformatie.
Fortinet waarschuwt Python-gebruikers dat ze “altijd zorgvuldigheid moeten zijn bij het downloaden en uitvoeren van packages, vooral in het geval van nieuwe auteurs. Het uploaden van meerdere packages in een korte periode is geen indicatie van de betrouwbaarheid van een auteur”.
3 uur geleden
