Sicherheitsforscher von Fortinet haben eine schwerwiegende Bedrohung im Python Package Index (PyPI) aufgedeckt. Zwei hochentwickelte Malware-Pakete namens „zebo“ und „cometlogger“ wurden identifiziert und nach über 280 Downloads entfernt. Die Schadsoftware zielte hauptsächlich auf Entwickler in den USA, China, Russland und Indien ab und demonstriert die wachsende Gefahr von Software Supply Chain Attacken.
Zebo: Fortschrittliche Spyware mit Persistence-Mechanismen
Das Malware-Paket „zebo“ zeichnet sich durch sophistizierte Tarnungstechniken aus, darunter hexadezimale String-Verschleierung zur Maskierung der Command-and-Control (C2) Kommunikation. Besonders besorgniserregend ist die automatische Persistence-Funktion, die durch Installation eines Batch-Skripts im Windows-Autostart-Ordner realisiert wird.
Erweiterte Überwachungsfunktionen
Die Malware implementiert ein umfangreiches Arsenal an Spionage-Werkzeugen: Mittels der pynput-Bibliothek werden Tastatureingaben protokolliert, während das ImageGrab-Modul in regelmäßigen Abständen Screenshots erstellt. Diese werden temporär lokal zwischengespeichert und anschließend über einen vom C2-Server bereitgestellten API-Schlüssel auf die Bildhosting-Plattform ImgBB hochgeladen.
Cometlogger: Massiver Credential-Harvester
Der zweite entdeckte Schädling „cometlogger“ ist auf die großflächige Extraktion sensibler Nutzerdaten spezialisiert. Die Malware zielt auf Authentifizierungsdaten populärer Plattformen ab, darunter Discord, Steam, Instagram, X (ehemals Twitter), TikTok, Reddit, Twitch, Spotify und Roblox. Zusätzlich sammelt sie detaillierte System- und Netzwerkinformationen, einschließlich WLAN-Konfigurationen und laufender Prozesse.
Die Effizienz von Cometlogger basiert auf asynchroner Programmierung, die eine rapide Exfiltration großer Datenmengen ermöglicht. Entwickler sollten ihre Dependency-Management-Praktiken dringend überprüfen und externe Pakete vor der Integration gründlich evaluieren. Essentiell sind dabei automatisierte Dependency-Scans, kontinuierliches Security-Monitoring und die strikte Einhaltung des Principle of Least Privilege bei der Paketinstallation. Die Implementation einer Software Bill of Materials (SBOM) kann zusätzlich dabei helfen, kompromittierte Komponenten schnell zu identifizieren und zu isolieren.
