Typosquatting-Kampagne infiziert Linux und macOS mit Malware

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung für Entwickler von Go-Programmen wurde aufgedeckt: Eine Typosquatting-Kampagne, die Malware über gefälschte Go-Pakete verbreitet.

In der Welt der Softwareentwicklung sind Entwickler ständig auf der Suche nach effizienten und zuverlässigen Bibliotheken, um ihre Projekte zu optimieren. Doch diese Suche birgt Risiken, wie eine kürzlich entdeckte Typosquatting-Kampagne zeigt, die gezielt Entwickler im Go-Ökosystem angreift. Diese Kampagne nutzt gefälschte Go-Pakete, um Malware auf Linux- und macOS-Systemen zu installieren.

Die Sicherheitsforscher von Socket, einem Anbieter von Sicherheitslösungen für die Software-Lieferkette, haben diese besorgniserregende Entwicklung aufgedeckt. Angreifer verwenden dabei die Technik des Typosquattings, bei der sie Pakete mit Namen veröffentlichen, die beliebten Bibliotheken ähneln. Diese Pakete enthalten versteckte Malware-Loader, die unbemerkt auf den Systemen der Entwickler installiert werden können.

Insgesamt wurden mindestens sieben dieser täuschend echten Pakete auf dem Go Module Mirror, einem zentralen Repository für Go-Module, veröffentlicht. Zu den betroffenen Paketen gehören unter anderem github.com/vainreboot/layout und github.com/thankfulmai/hypert. Diese Pakete imitieren bekannte Bibliotheken wie ‘hypert’ für die HTTP-API-Client-Tests und ‘layout’ für die UI-Entwicklung.

Besonders besorgniserregend ist, dass das ‘hypert’-Paket speziell auf Entwickler im Finanzsektor abzielt. Es enthält versteckte Funktionen, die eine Remote-Code-Ausführung ermöglichen. Wird das Paket in ein Projekt importiert, lädt der schädliche Code unbemerkt ein Skript von einem entfernten Server herunter, das dann eine ausführbare Datei installiert, die sensible Daten oder Anmeldedaten stehlen kann.

Um einer Entdeckung zu entgehen, nutzen die Angreifer verschiedene Techniken. Dazu gehört die Verschleierung von Befehlen durch die Verwendung von Array-basierten Zeichenfolgen, die es traditionellen Sicherheitswerkzeugen erschweren, die Bedrohung zu erkennen. Zudem verzögert das schädliche Skript die Ausführung des finalen Payloads um eine Stunde, um Sicherheitsmaßnahmen zu umgehen, die auf sofortige Aktionen fokussiert sind.

Die verwendeten Domains in dieser Kampagne ähneln oft legitimen Websites, insbesondere solchen, die mit Finanzinstituten in Verbindung stehen. Diese Taktik, bekannt als Domain-Typosquatting, zielt darauf ab, das Vertrauen der Nutzer in bekannte Namen und Marken auszunutzen.

Die Forscher von Socket betonen die wachsenden Risiken von Angriffen auf die Software-Lieferkette, bei denen böswillige Akteure Entwickler ins Visier nehmen und die Integrität weit verbreiteter Bibliotheken und Pakete gefährden. Entwickler sollten wachsam sein, wenn sie externe Pakete in ihre Projekte integrieren. Echtzeit-Scan-Tools, Browser-Erweiterungen, Code-Audits und sorgfältige Abhängigkeitsmanagement-Praktiken sind entscheidend.

Thomas Richards, Principal Consultant bei Black Duck, einem Anbieter von Anwendungssicherheitslösungen, kommentierte die jüngsten Entwicklungen und betonte die Bedeutung der Überprüfung von Modulen, bevor sie in den Quellcode integriert werden. Er rät Entwicklern, Anwendungen, die in Go entwickelt werden, sofort zu überprüfen, um sicherzustellen, dass keine schädlichen Pakete vorhanden sind und Systeme nicht kompromittiert wurden.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.901 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen