Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Kaspersky warnt vor Cyberangriff auf PyPI-Lieferkette

Kaspersky hat eine Supply-Chain-Angriffskampagne aufgedeckt, die auf das Python Package Index (PyPI) Repository abzielt und fast ein Jahr lang unbemerkt lief. Die Angreifer nutzen funktionale KI-Chatbot-Tools als Köder, um schädliche Pakete mit einer modifizierten Version der JarkaStealer-Malware zu verbreiten und Informationen abzugreifen. Betroffen sind Nutzer weltweit – darunter auch in Deutschland. PyPl hat die schädlichen Pakete inzwischen entfernt.

Die schädlichen Pakete waren bereits seit November 2023 auf PyPI verfügbar und wurden über 1700 Mal in mehr als 30 Ländern heruntergeladen, bevor sie entdeckt und entfernt wurden. Laut PyPI-Statistiken externer Monitoring-Dienste war die Kampagne in den USA, China, Frankreich, Deutschland und Russland am aktivsten. Kaspersky geht allerdings davon aus, dass sie nicht auf bestimmte Organisationen oder geografische Regionen ausgerichtet war – die Betroffenen waren scheinbar Einzelanwender.

Identifiziert wurde die Bedrohung mithilfe eines internen automatisierten Systems zur Überwachung von Open-Source-Repositories. Die Pakete waren als Python-Wrapper für beliebte KI-Tools – insbesondere ChatGPT von OpenAI und Claude AI von Anthropic – getarnt. Die Pakete stellten zwar legitime KI-Chatbot-Funktionen bereit, jedoch versteckte sich darin auch die Malware JarkaStealer, die dann auf den Systemen der Nutzer installiert wurde.

Der in Java geschriebene JarkaStealer kann den Sicherheitsforschern zufolge Daten aus verschiedenen Browsern stehlen, Screenshots erstellen, Systeminformationen sammeln und Sitzungs-Token von Anwendungen wie Telegram, Discord, Steam und sogar einem Minecraft-Cheat-Client abgreifen. Weiterhin verfügt die Malware über Funktionen zum Beenden von Browser-Prozessen, wie Chrome und Edge, um auf gespeicherte Daten zuzugreifen und diese zu extrahieren. Die gesammelten Informationen werden archiviert und auf den Server des Angreifers exfiltriert, bevor sie vom infizierten Computer gelöscht werden.

„Die Entdeckung dieses Supply-Chain-Angriffs unterstreicht die anhaltende Bedrohung, die von Angriffen auf die Software-Lieferkette ausgeht, und macht deutlich, dass bei der Integration von Open-Source-Komponenten in Entwicklungsprozesse höchste Wachsamkeit geboten ist“, kommentiert Leonid Bezvershenko, Sicherheitsforscher im GReAT von Kaspersky. „Wir raten Unternehmen, strenge Verifizierungs- und Integritätsprüfungen durchzuführen, um die Rechtmäßigkeit und Sicherheit der von ihnen verwendeten Software und damit einhergehenden Abhängigkeiten zu gewährleisten, insbesondere bei der Integration neuer Technologien wie KI.“

Original Autor: Stefan Beiersmann
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Gesundheitsdaten immer wertvoller: Forscherin ford...
Digitale Produkte „cyberfit“ machen
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image