Eine neue Bedrohung für die Open-Source-Community Lumma-Malware hat jetzt auch Python-Entwickler als Ziel

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Entwickler greifen in ihrer täglichen Arbeit häufig auf gängige Open-Source-Komponenten zurück, weil diese ihnen bei den verschiedenen Projekten eine große Stütze sind. Dabei besteht jedoch immer das Risiko, dass sie unwissentlich schadhafte Pakete integrieren. Dadurch können zum Beispiel Kryptowährungen gestohlen werden. Genau diesem Szenario sehen sich Entwickler jetzt mit der Entdeckung von 'crytic-compilers' konfrontiert.

Automatisierte Malware-Erkennungssysteme haben kürzlich ein PyPI-Paket namens 'crytic-compilers' entdeckt, das dem Namen einer legitimen Python-Bibliothek täuschend ähnlich ist. Diese echte Bibliothek, 'crytic-compile', wird häufig von Entwicklern genutzt, um Smart Contracts oder digitale Vereinbarungen auf Blockchain-Netzwerken zu kompilieren. Die gefälschte Komponente, die unter der Bezeichnung sonatype-2024-1561 am 1. Mai 2024 identifiziert wurde, erzielte knapp 500 Downloads, bevor sie von PyPI entfernt wurde. Dies verdeutlicht, wie schnell und weitreichend sich solche bösartigen Pakete verbreiten können. Der Erfolg ist auch darauf zurückzuführen, dass die gefälschte Bibliothek besonders raffiniert angelegt ist: Sie imitiert nicht nur den Namen der legitimen Bibliothek, sondern gleicht auch die Versionsnummern laufend an und installiert die originale Software nebenbei mit, um keinen Verdacht zu erregen.

Verbindung zu Lumma-Malware

Ein weiterer wichtiger und sehr interessanter Aspekt dieser Bedrohung ist die Verbindung zu Lumma, auch bekannt als LummaC2. Das ist eine Malware, die auf Browser-Passwörter und Krypto-Wallets abzielt und die gestohlenen Informationen an Bedrohungsakteure exfiltriert. Die gefälschte 'crytic-compilers'-Bibliothek stellt Verbindungen zu bestimmten Domains und IP-Adressen her, die mit Lumma verknüpft sind. Dass diese Domains sogar den DDoS-Schutz von Cloudflare aktiviert haben, unterstreicht, wie professionell dieser Angriff organsiert wurde und wie ernst er daher zu nehmen ist.

Lumma ist mindestens seit August 2022 aktiv und wird hauptsächlich auf russischsprachigen Foren im Dark Web unter einem Malware-as-a-Service (MaaS)-Modell angeboten. Entwickelt von einem Bedrohungsakteur mit dem Alias „Shamel“, hat sich Lumma in verschiedenen Formen verbreitet, einschließlich trojanisierter Bootleg-Apps, Phishing-E-Mails und raubkopierter Spiele mit Cheats.

Python-Entwickler besonders gefährdet

Die Entdeckung von 'crytic-compilers' zeigt, dass die erfahrenen Akteure nun Python-Entwickler ins Visier nehmen. Open-Source-Register wie PyPI werden als Vertriebskanal für ihre Malware genutzt. Diese Entwicklung sollte für alle Entwickler ein Weckruf sein, besonders wachsam zu agieren und die Komponenten, die sie in ihre Projekte integrieren, sorgfältig auszuwählen.

Die Bedrohung durch bösartige Software-Komponenten in Open-Source-Registern ist real und ernst. Entwickler müssen proaktive Maßnahmen ergreifen, um sicherzustellen, dass ihre Projekte für alle Anwender sicher bleiben. Dazu gehören die sorgfältige Überprüfung und Validierung von Bibliotheken sowie das Bewusstsein für potenzielle Sicherheitsrisiken. Auch die Verwendung einer geeigneten Firewall samt regelmäßig angepasster Blockliste kann Entwickler davor schützen, gefälschte Komponenten in ihre Builds aufzunehmen werden können. Nur durch gemeinschaftliche Anstrengungen und Wachsamkeit aller Beteiligten kann die Integrität der Open-Source-Entwicklung geschützt und die Sicherheit der digitalen Welt gewährleistet werden.

Über den Autor: Ax Sharma ist Staff Security Researcher & Malware Analyst bei Sonatype und beschäftigt sich intensiv mit Open Source Software. Seine Publikationen und Fachanalysen werden regelmäßig von führenden Medien im Bereich der Informationssicherheit veröffentlicht. Ax' Expertise umfasst die Erforschung von Sicherheitslücken, Reverse Engineering und Softwareentwicklung.

(ID:50066397)