Ungewollte Beigaben in populärem Python-Repository

18. September 2017, 11:56
  • security
image

Im von vielen Entwicklern benutzten Online-Repository "Python Package Index" (PyPi). Die verseuchten Programmpakete wurden laut der Behörde auch offensichtlich von nichtsahnenden Programmierern heruntergeladen und in ihre Programme eingebaut.

Im von vielen Entwicklern benutzten Online-Repository "Python Package Index" (PyPi). Die verseuchten Programmpakete wurden laut der Behörde auch offensichtlich von nichtsahnenden Programmierern heruntergeladen und in ihre Programme eingebaut.
Die Angreifer haben vorhandene Programmpakete verwendet, sie mit einem Zusatzcode versehen und dann mit sehr ähnlichen Namen in das Repository hochgeladen. Immerhin handelt es sich laut den Slowaken bei der Malware um eine relativ "gutmütige" Schadsoftware. Sie meldet, wenn sie installiert wird, lediglich den Namen und die Version des gefälschten Pakets, den Usernamen des Entwicklers, der es installiert hat sowie den Hostnamen an einen zentralen Server. Ansonsten verrichtet das Paket wie vorgesehen seinen Dienst, da ja auch der Originalcode darin steckt. Im oben verlinkten Advisory findet man viele weitere Details sowie Ratschläge, wie Entwickler ihre Software nach solchen gefälschten Paketen durchsuchen können.
Die slowakische Behörde hat die Betreiber von PyPi informiert und die verseuchten Pakete wurden mittlerweile entfernt.
Der Vorfall zeigt aber ein grundsätzliches Security-Problem für die Python-Entwicklerszene auf, wie 'Ars Technica' analysiert herunterladen. Viele halten sich aber offensichtlich nicht an diese Praxis und benutzen auch andere Repositories. Beispielsweise via das beliebte Paketmanagementtool "pip".
Die nun gefundene Schadsoftware ist zwar relativ harmlos. Sie könnte aber ein Test von Angrefern gewesen sein, die später auch Schlimmeres einschleusen könnten.
Nur zwei Teilzeitadmins für einen wichtigen Python-Service
Das Problem ist, dass jedermann Softwarepakete auf PyPi oder ähnliche Repositories hochladen kann, und dass diese keine adäquaten Ressourcen haben, um mögliche Schadsoftware proaktiv aufzuspüren. Wie einfach Schadcode eingeschleust werden kann, haben auch deutsche Security-Experten in letzter Zeit demonstriert. Ähnlich wie die Angreifer haben sie veränderte Pakete hochgeladen. Danach konnten sie auch zeigen, dass diese sehr schnell heruntergeladen und offensichtlich Tausende Male in Python-Programme eingebaut wurden.
Die Knappheit der Ressourcen betonen auch die PyPi-Betreiber in einem Statement gegenüber 'Ars Technica'. Man habe seit der Meldung der Probleme viele Ratschläge für bessere Sicherheitsmechanismen erhalten und sei nun daran, die Optionen zu prüfen. Man müsse sich aber darüber im Klaren sein, dass PyPi von lediglich zwei aktiven Administratoren in freiwilliger Teilzeitarbeit betrieben werde. Aktives Monitoring beispielsweise komme daher nicht in Frage.
Das erinnert in den Grundzügen an die Problematik, welche beispielsweise auch der Heartbleed-Bug vor drei Jahren illustrierte: Manche Open-Source-Projekte, deren Erzeugnisse teilweise extrem weit verbreitet verwendet werden, werden von nur ganz wenigen Freiwilligen vorangetrieben. Entsprechend beschränkt sind die Möglichkeiten, auf Security-Probleme zu reagieren. Auch die PyPi-Betreiber ziehen ein ähnliches Fazit: "Während wir zwar hoffen, dass diese Art von Problemen nie wieder auftaucht, sind wir doch auch froh, dass dadurch wieder einmal ein helles Licht auf die Verletzlichkeit von freien und Open-Source-Projekten und Services, auf die wir uns alle verlassen, geworfen wird. Wir können damit nicht allein umgehen und brauchen die Hilfe und Unterstützung von Allen." (Hans Jörg Maron)

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023
image

Datenleck bei der Fremdsprach-App Duolingo?

In einem Forum werden die Daten von 2,6 Millionen Accounts zum Verkauf angeboten. Doch das Unternehmen bestreitet eine Sicherheitsverletzung.

publiziert am 25.1.2023