PyPI: Kompromittierte Pakete stehlen AWS-Schlüssel von Nutzern
Da PyPI aus Open-Source-Paketen besteht, hat jeder Entwickler die Option, den Code anzupassen und eigene Programme für das Repository zur Verfügung zu stellen. Obwohl PyPI in den meisten Fällen schnell auf kompromittierte Pakete reagiert und den entsprechenden Code entfernt, gibt es keine Überprüfung, bevor ein Paket bereitgestellt wird. Das hat zur Folge, dass bösartige Software verbreitet wird, bis sie entdeckt und gelöscht worden ist.
Die Pakete stehlen Nutzerdaten...
...und leiten sie an fremde Server weiter
Das Sicherheits-Unternehmen Sonatype hat die Pakete "loglib-modules", "pyg-modules", "pygrata", "pygrata-utils" und "hkg-sol-utils" als Malware eingestuft. Laut BleepingComputer versuchen die ersten zwei Pakete, legitime und bekannte Projekte zu imitieren. In den fünf Paketen sind ähnlicher Code und Abhängigkeiten zu finden, sodass sie vermutlich von einem einzigen Angreifer oder Hacker-Team stammen. Mit dem Schadcode werden AWS-Daten, Informationen zur Netzwerkschnittstelle und Umgebungsvariablen abgegriffen. Die Daten werden in einer Text-Datei gespeichert und über eine ungesicherte Verbindung gesendet.
Weitere News zum Thema Datenschutz:
Die Pakete stehlen Nutzerdaten...
...und leiten sie an fremde Server weiter
Das Sicherheits-Unternehmen Sonatype hat die Pakete "loglib-modules", "pyg-modules", "pygrata", "pygrata-utils" und "hkg-sol-utils" als Malware eingestuft. Laut BleepingComputer versuchen die ersten zwei Pakete, legitime und bekannte Projekte zu imitieren. In den fünf Paketen sind ähnlicher Code und Abhängigkeiten zu finden, sodass sie vermutlich von einem einzigen Angreifer oder Hacker-Team stammen. Mit dem Schadcode werden AWS-Daten, Informationen zur Netzwerkschnittstelle und Umgebungsvariablen abgegriffen. Die Daten werden in einer Text-Datei gespeichert und über eine ungesicherte Verbindung gesendet.
Entwickler sollten Pakete vor Nutzung verifizieren
Software-Entwickler sollten besonders aufpassen, welche Pakete sie im Rahmen ihrer Projekte nutzen. Dabei sollte nicht nur auf den Namen, sondern auch auf die Update-Verläufe und Changelogs geachtet werden. Außerdem können die Beschreibungen und Download-Zahlen helfen, um zu bestimmen, ob ein Paket echt ist oder gefälscht wurde.Weitere News zum Thema Datenschutz:
- Immer wieder Daten-Abrufe durch Polizisten zu privaten Zwecken
- TikTok: Mitarbeiter konnten auf persönliche Nutzerdaten zugreifen
- Datenschutz: Windows 11 listet Apps, die Mikro und Kamera verwenden
- Kehrtwende: Bundeskriminalamt bekommt Telegram-Nutzerdaten
- GitHub: Angreifer stehlen Daten von mehr als 100.000 npm-Konten
Thema:
Amazons Aktienkurs in Euro
Jetzt als Amazon Blitzangebot
Ab 00:00 Uhr 
Launch - Werkzeuge & Ausrüstung für den Automobilbereich
Launch - Werkzeuge & Ausrüstung für den Automobilbereich Original Amazon-Preis
29,00 €
Blitzangebot-Preis
24,60 €
Ersparnis zu Amazon 15% oder 4,40 €
Neue Amazon-Bilder
Videos zum Thema Amazon
-
Upload: Neuer Trailer stimmt auf Staffel 3 der Sci-Fi-Serie ein
-
Totally Killer: Trailer zur Zeitreise-Horrorkomödie von Amazon
-
Gen V: Neuer Trailer stimmt auf die Spin-off zu 'The Boys' ein
HIGHLIGHT
-
The Continental - Neuer Trailer zur John Wick-Miniserie veröffentlicht
-
Amazon Fire Max 11 im Test: Das bisher schnellste Tablet von Amazon
Beiträge aus dem Forum
Kindle Oasis im Preis-Check
Amazon.de Interessante Links
Neue Nachrichten
- Microsoft erwog Bing-Verkauf an Apple, um Google zu schaden
- Microsofts neue Bing Chat-Suche verbreitet bereits Malware
- Notebooksbilliger: Viele Technik-Produkte wieder stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Microsoft beendet Windows 10/11-Aktivierung mit Windows 7-Keys
- Apple startet die erste iOS 17.1-Beta - Das ist alles neu
- Microsoft verrät Windows 11 23H2-Mindestsystemanforderungen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen