MÜNCHEN (IT BOLTWISE) – In der Welt der Softwareentwicklung ist die Sicherheit der Lieferkette von entscheidender Bedeutung. Ein aktueller Fall zeigt, wie wichtig es ist, die Herkunft und Integrität von Softwarepaketen zu überprüfen.

Ein kürzlich entdecktes bösartiges Paket auf dem Python Package Index (PyPI) hat die Aufmerksamkeit von Cybersicherheitsexperten auf sich gezogen. Das Paket mit dem Namen „fabrice“ wurde über drei Jahre hinweg tausende Male heruntergeladen und hat dabei heimlich die Amazon Web Services (AWS)-Anmeldedaten von Entwicklern exfiltriert. Dieses Paket ist ein typisches Beispiel für Typosquatting, bei dem der Name eines beliebten Pakets, in diesem Fall „fabric“, leicht abgeändert wird, um ahnungslose Nutzer zu täuschen.

Während das legitime „fabric“-Paket über 202 Millionen Downloads verzeichnet, wurde das schädliche „fabrice“-Paket bereits mehr als 37.100 Mal heruntergeladen. Trotz der Entdeckung war es zum Zeitpunkt der Berichterstattung noch immer auf PyPI verfügbar. Das Paket wurde erstmals im März 2021 veröffentlicht und nutzt die Vertrauenswürdigkeit des echten „fabric“-Pakets aus, um schädliche Nutzlasten zu integrieren, die Anmeldedaten stehlen, Hintertüren schaffen und plattformspezifische Skripte ausführen.

Auf Linux-Systemen lädt „fabrice“ vier verschiedene Shell-Skripte von einem externen Server herunter, dekodiert und führt sie aus. Auf Windows-Systemen werden zwei verschiedene Nutzlasten, ein Visual Basic Script und ein Python-Skript, extrahiert und ausgeführt. Das Visual Basic Script fungiert als Starter, der ein verstecktes Python-Skript ausführt, während das andere Skript eine bösartige ausführbare Datei herunterlädt und diese als „chrome.exe“ speichert.

Das Hauptziel des Pakets ist der Diebstahl von Anmeldedaten, insbesondere von AWS-Zugangs- und Geheimschlüsseln, die mit dem Boto3 AWS Software Development Kit (SDK) für Python gesammelt und an den Server zurückgesendet werden. Dies ermöglicht dem Angreifer potenziell sensiblen Zugriff auf Cloud-Ressourcen. Die Sicherheitsfirma Socket beschreibt „fabrice“ als einen ausgeklügelten Typosquatting-Angriff, der darauf abzielt, die vertrauenswürdige „fabric“-Bibliothek zu imitieren und ahnungslose Entwickler auszunutzen.

Inzwischen wurde das „fabrice“-Paket aus dem PyPI-Repository entfernt. Ein Sprecher von AWS betonte die Wichtigkeit, sicherzustellen, dass Kunden nicht versehentlich die Malware „fabrice“ anstelle der legitimen „fabric“-Software verwenden. AWS empfiehlt, bei Verdacht auf bösartige Aktivitäten innerhalb von AWS-Konten oder -Anmeldedaten die entsprechenden Maßnahmen zur Behebung potenziell kompromittierter AWS-Anmeldedaten zu ergreifen oder den AWS-Support um Hilfe zu bitten.

Dieser Vorfall unterstreicht die Notwendigkeit einer robusten Sicherheitsstrategie für die Software-Lieferkette, einschließlich der Validierung des korrekten Quellcodes und Namens jeglicher installierter Software oder Abhängigkeit. AWS trägt zur Sicherheit der Software-Lieferkette im Open-Source-Ökosystem von Python durch eine Sicherheitsförderung des Python Package Index (PyPI) mit der Python Software Foundation bei.