Lieferketten unter Beschuss

Neue Phishingbande gesichtet: Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben Forschungsergebnisse zu einer neuen Malwaregruppe mit dem Namen „JuiceLedger“ veröffentlicht. Bei JuiceLedger handelt es sich um einen relativ neuen Bedrohungsakteur, der sich auf den Diebstahl von sensiblen Nutzerinformationen durch eine .NET-Assembly namens „JuiceStealer“ konzentriert. Die Gruppe hat ihren Angriffsvektor in nur etwas mehr als 6 Monaten von schadhaften Applikationen, hin zu Angriffen auf die Lieferkette weiterentwickelt.

Im August erfolgte eine Phishing-Kampagne gegen PyPI (Python Package Index)-Nutzer, in dessen Folge es zu der erfolgreichen Kompromittierung einer Reihe legitimer Pakete kam. Dies ist der erste bekannte Phishing-Angriff auf PyPI. In der Phishing-E-Mail wird behauptet, dass ein obligatorischer „Validierungsprozess“ den Beitragenden dazu auffordert, sein Paket zu validieren oder zu riskieren, dass es aus PyPI entfernt wird.

Einige dieser Phishing-Angriffe scheinen erfolgreich gewesen zu sein und haben dazu geführt, dass legitime Code-Pakete kompromittiert wurden, bei denen die Anmeldedaten der Mitwirkenden kompromittiert wurden.

In diesem Zusammenhang konnten hunderte von Typosquatting-Paketen, die JuiceStealer-Malware liefern, identifiziert werden. Das beliebte Software-Repository PyPI teilt der Öffentlichkeit mit, dass bekannte bösartige Pakete und Typosquats inzwischen entfernt oder heruntergenommen wurden.

Die Forscher von SentinelLabs haben in Zusammenarbeit mit Checkmarx die Entwicklung des Bedrohungsakteurs verfolgt. Die Aktivitäten begannen Anfang 2022 mit relativ unauffälligen Kampagnen. Hierbei wurden betrügerische Python-Installationsprogramme mit der .NET-Anwendung JuiceStealer verbreitetet, mit der sensible Daten aus den Browsern der Opfer gestohlen werden sollten. Im August 2022 begann der Bedrohungsakteur mit der Kompromittierung von Open-Source-Paketen, um den Infostealer über einen Supply-Chain-Angriff an ein breiteres Publikum zu verteilen, was das Bedrohungspotenzial dieser Gruppe erheblich vergrößerte.

Zwei Angriffsmethoden – gefälschte Apps und Angriffe auf die Lieferkette

Der Angriff auf die Lieferkette von PyPI-Paketanbietern scheint die Eskalation einer Anfang des Jahres begonnenen Kampagne zu sein, die zunächst auf potenzielle Opfer durch gefälschte Kryptowährung-Trading-Apps abzielte. Der dabei eingesetzte Bot wird von den Bedrohungsakteuren als „KI-Krypto-Handelsbot“ mit dem Namen „The Tesla Trading Bot“ vermarktet. Diese Angriffstechnik läuft nach einem ähnlichen Schema wie das Python-Installationsprogramm ab. So ist der Bot in eine Zip-Datei mit zusätzlicher legitimer Software eingebettet und fordert die Benutzer auf, ihre Sicherheitslösungen zu deaktivieren.

Der jüngste Angriff beinhaltete jedoch eine weitaus komplexere Angriffskette, einschließlich Phishing-E-Mails an PyPI-Entwickler, Typosquatting und schadhafte Pakete, die darauf abzielen, nachgeschaltete Benutzer mit der JuiceStealer-Malware zu infizieren. Dieser Angriffsvektor scheint parallel zu der früheren Infektionsmethode eingesetzt zu werden, da ähnliche Nutzdaten etwa zur gleichen Zeit über gefälschte Cryptocurrency-Ledger-Websites verbreitet wurden.

Fazit

Die Gruppe JuiceLedger scheint ihre Fähigkeiten sehr schnell weiterentwickelt zu haben, was die erfolgreiche Kompromittierung der Lieferkette eines großen Softwareanbieters verdeutlicht. Der Angriff auf PyPI-Nutzer umfasste eine gezielte Phishing-Kampagne, Hunderte von typosquatted Paketen und die Übernahme von Konten vertrauenswürdiger Entwickler. Dies zeigt, dass der Bedrohungsakteur über genügend Zeit und enorme Ressourcen verfügt. Angesichts der weiten Verbreitung von PyPI und anderen Open-Source-Paketen in Unternehmensumgebungen sind Angriffe wie diese äußerst besorgniserregend. Unternehmen wird deshalb dringend empfohlen, die von Sicherheitsexperten bereitgestellten Indikatoren zu überprüfen und geeignete Abwehrmaßnahmen zu ergreifen.