VMConnect: Schädliche PyPI-Pakete imitieren beliebte Open-Source-Module

Jul 28, 2023

Home » Redaktionskalender » Sicherheit der Software-Lieferkette » VMConnect: Schädliche PyPI-Pakete imitieren beliebte Open-Source-Module

ReversingLabs hat mehrere bösartige Python-Pakete im Open-Source-Repository Python Package Index (PyPI) identifiziert. Insgesamt entdeckten die Forscher von ReversingLabs 24 Schadpakete, die drei beliebte Open-Source-Python-Tools imitierten: vConnector, ein Wrapper-Modul für pyVmomi VMware vSphere-Bindungen; sowie eth-tester, eine Sammlung von Tools zum Testen von Ethereum-basierten Anwendungen; und Datenbanken,ein Tool, das Asyncro-Unterstützung für eine Reihe von Datenbanken bietet.

Den Beobachtungen des Forschungsteams zufolge begann die Kampagne am oder um den 28. Juli 2023, als die ersten Schadpakete veröffentlicht wurden. Dies dauert bis zum heutigen Tag an, wobei täglich neue, bösartige PyPI-Pakete veröffentlicht werden, da frühere Pakete erkannt und entfernt werden.

Im Gegensatz zu anderen aktuellen Supply-Chain-Kampagnen wie Operation Brainleeches weisen die Schadpakete, aus denen diese Kampagne besteht, Hinweise auf eine konzertierte Anstrengung zur Täuschung von Entwicklern auf. Dies erreichen sie, indem sie die gesamte Funktionalität der von ihnen nachgeahmten Module implementieren und entsprechende und verknüpfte GitHub-Projekte aufbauen, die die schädliche Funktionalität des PyPI-Release-Pakets weglassen.

Dies ist nicht das erste Mal, dass wir ein solches Verhalten beobachten. Im Juni 2022 entdeckten wir beispielsweise ein npm-Schadpaket namens „maintenancewebsite“, das einen ähnlichen Ansatz nutzte, um Kryptomining-Funktionen zu verbergen. Die VMConnect-Kampagne ist das jüngste Beispiel dafür, dass Open-Source-Module zur Verbreitung von bösartigem Code verwendet werden, und ein weiterer Beweis dafür, dass Sicherheitsbewertungen von Open-Source-Code-Repositorys diese nuancierten Angriffe möglicherweise übersehen.

Das Forschungsteam von ReversingLabs überwacht kontinuierlich Open-Source-Paket-Repositories auf Fälle von Manipulationen bösartigen Codes, das Einschleusen bösartiger Pakete oder Abhängigkeiten und andere Formen von Angriffen auf die Software-Lieferkette. Diese Arbeit umfasst sowohl das automatisierte als auch das von Menschen durchgeführte Scannen und Analysieren von Paketen, die in den beliebtesten öffentlichen Paket-Repositories wie npm, PyPI, Ruby und NuGet veröffentlicht wurden.

Historisch gesehen wurde die überwiegende Mehrheit der von uns identifizierten bösartigen Supply-Chain-Kampagnen im npm-Open-Source-Repository gefunden, das den Löwenanteil der Open-Source-Projekte und -Entwickler beherbergt. Allerdings kam es in den letzten Monaten auch auf anderen Plattformen, insbesondere auf dem Python Package Index (PyPI), zu vermehrten bösartigen Aktivitäten. Im Februar entdeckten Forscher von ReversingLabs beispielsweise 41 bösartige PyPI-Pakete, die sich als HTTP-Bibliotheken ausgaben, wobei einige beliebte und weit verbreitete Bibliotheken imitierten. Im März stießen wir auf ein bösartiges PyPI-Paket namens termcolour, einen dreistufigen Downloader, der in mehreren Versionen veröffentlicht wurde und den Namen eines nicht mehr existierenden PyPI-Pakets übernahm. Dann, im Mai, stellte PyPI kurzzeitig die Annahme neuer Einsendungen ein, nachdem es mit böswilligen Einsendungen überhäuft wurde.

Bedrohungsforscher von ReversingLabs haben eine neue bösartige PyPI-Kampagne identifiziert, die ein verdächtiges VMConnect-Paket enthält, das im PyPI-Repository veröffentlicht wurde.

Dieses Paket wurde während routinemäßiger Scans durch ReversingLabs Titanium Platform, einer leistungsstarken statischen Analyse-Engine, die verschiedene Arten von Metadaten aus einer Vielzahl von Dateiformaten extrahieren kann, als verdächtig eingestuft.

Neben den verschiedenen Arten von Metadaten ist die ReversingLabs Titanium Platform auch in der Lage, Verhaltensindikatoren zu extrahieren, was das Verständnis der funktionalen Fähigkeiten einer Datei erleichtert. Und diese Fähigkeit hat unsere Aufmerksamkeit auf die Datei _init_.py in VMConnect gelenkt. Code in der __init__.py-Datei von VMConnect ist in der Lage, einen Prozess zu erstellen, Daten mithilfe des Base64-Algorithmus zu dekodieren und Binärdaten in ihre Zeichenfolgendarstellung umzuwandeln – ein Verhalten, das häufig bei der Verschleierung verwendet wird. Diese Kombination von Verhaltensweisen löste die erste Entdeckung aus und löste weitere Untersuchungen aus.

Abbildung 1: Aus dem VMConnect-Paket extrahierte Verhaltensindikatoren.

Ein detaillierter Blick auf die Datei __init__.py bestätigte das Vorhandensein schädlicher Funktionen im Paket. Das begann mit der Base64-codierten Zeichenfolge, die in einem anderen Prozess decodiert und ausgeführt wird.

Abbildung 2: Ausführung der Base64-codierten Zeichenfolge in der Datei __init__.py.

Als wir die Zeichenfolge entschlüsselten, stellten wir fest, dass sie eine Download-URL enthält, die basierend auf den vom Host-Computer gesammelten Informationen geändert wurde. Die Teilzeichenfolge paperpin3902 in der Befehls- und Steuer-URL wird durch eine Zeichenfolge ersetzt, die den ersten Buchstaben des Plattformnamens des Hosts, den Benutzernamen und eine zufällige, 6 Zeichen lange Zeichenfolge enthält.

Abbildung 3: C2-URL-Vorlage, extrahiert aus der Base64-codierten Zeichenfolge, wird basierend auf Host-Computerinformationen geändert.

Die dekodierte und ausgeführte Base64-Zeichenfolge enthält eine endlose Ausführungsschleife, die den Befehls- und Kontrollserver (C2) kontaktiert und versucht, eine weitere Base64-kodierte Zeichenfolge mit zusätzlichen Befehlen herunterzuladen. Wenn dies gelingt, wird dieser Code ausgeführt und die Schleife wiederholt sich, wobei der C2-Server nach einer vorkonfigurierten Ruhephase vom infizierten Host nach neuen Befehlen abgefragt wird.

Abbildung 4: Befehlsabruf- und Ausführungsschleife, extrahiert aus der Base64-codierten Zeichenfolge im__init__.pyDatei.

Obwohl der C2-Server zum Zeitpunkt dieser Untersuchung aktiv war, beobachtete das Forschungsteam nicht, dass er irgendwelche Befehle ausführte. Da der Befehlsabruf in einer Endlosschleife erfolgt, ist es möglich, dass der Betreiber des C2-Servers Befehle erst hochlädt, nachdem festgestellt wurde, dass der infizierte Computer für den Bedrohungsakteur interessant ist. Alternativ könnte der C2-Server eine Art Anforderungsfilterung durchführen. Beispielsweise können Angreifer Anfragen basierend auf der IP-Adresse des infizierten Computers filtern, um eine Infektion von Zielen aus bestimmten Ländern zu vermeiden.

Das VMConnect-Paket wurde am 28. Juli von einem Entwickler namens Hushki Manager veröffentlicht – einem Wegwerf-PyPI-Konto, das am selben Tag erstellt wurde, an dem sein einziges Paket veröffentlicht wurde.

Abbildung 5: PyPI-Profil des hushki502-Benutzers.

Dennoch hat sich der Schauspieler große Mühe gegeben, das Paket vertrauenswürdig wirken zu lassen. Es verfügt beispielsweise über eine legitim aussehende Beschreibung, und diese Beschreibung entspricht der im Paket enthaltenen Funktionalität. Bedrohungsakteure machen sich oft nicht die Mühe, die Beschreibung des Projekts auf der PyPI-Website aufzuräumen.

Stattdessen verlassen sie sich oft auf einfache Tippfehler bei Paketnamen, um genügend Entwickler dazu zu bringen, ihre Kreation zu installieren. Beispielsweise haben die Bedrohungsakteure hinter der kürzlich entdeckten Operation Brainleeches-Kampagne nur minimale Anstrengungen unternommen, um ihre Schadpakete zu verschleiern, indem sie Standarddateinamen wie index.html und DEMO.txt verwendeten, die wahrscheinlich aus Phishing-Kits kopiert und vor der Veröffentlichung nur minimal geändert wurden.

Abbildung 6: Beschreibung des VMConnect-Pakets.

In dieser Kampagne gingen die Angreifer jedoch gezielter vor. Zusätzlich zur Wiederverwendung der Beschreibung aus den tatsächlichen Paketen setzten die Angreifer ordnungsgemäß Links zu einem Github-Quellcode-Repository, das vom selben Autor am selben Tag erstellt wurde. Die Github-Projektseite sieht vertrauenswürdig aus, mit einer Beschreibung, die mit der auf der PyPI-Seite übereinstimmt, und mehreren Commits und nichts offensichtlich Verdächtigem in den veröffentlichten Dateien.

Abbildung 7: Github-Profil des Benutzers hushki502.

Schließlich haben die böswilligen Akteure darauf geachtet, die bösartige Natur dieses Tools zu verbergen, indem sie schädliche Funktionen aus der Datei __init__.py weggelassen haben, die im Github-Repository veröffentlicht wurde.

Abbildung 8: Gutartige Version von__init__.pyDatei im Github-Repository vorhanden.

Die Verwendung entsprechender GitHub-Repositories, um den Eindruck eines legitimen Open-Source-Pakets zu erwecken, ist etwas, das wir schon einmal gesehen haben – und es gibt eine gute Erklärung dafür, warum sich Bedrohungsakteure die Mühe machen, dies zu tun.

In der Vergangenheit stützten sich viele Sicherheitslösungen für die Lieferkette auf die Überprüfung des Quellcodes von Bibliotheken Dritter. Angreifer haben daher einen Anreiz, Code-Scan-Tools und manuelle Code-Prüfer aus der Fassung zu bringen. Für Gutachter wirken PyPI-Projekte tendenziell vertrauenswürdiger, wenn sie über einen entsprechenden Link zu einem Github-Repository verfügen, der nicht willkürlich wirkt.

Im Fall der bösartigen PyPI-Pakete erstellte der Angreifer ein gefälschtes Github-Repository mit einem identischen Namen wie das PyPI-Paket und kopierte die gesamte Funktionalität aus dem legitimen Github-Projekt in das entsprechende PyPI-Projekt. Die schädliche Funktionalität ist jedoch nicht im Quellcode vorhanden. Erst durch das Scannen der im Build-Prozess verwendeten Artefakte wäre diese Bedrohung erkannt worden.

ReversingLabs beobachtete eine ähnliche Taktik im Fall des vor einem Jahr entdeckten NPM-Coinminers. In dieser Kampagne unterschied sich auch der Inhalt des Release-Pakets – eine temporäre „Wartungsmodus“-Website – von dem Inhalt, der im entsprechenden Quellcode-Repository gehostet wurde. Wie bei den aktuellen PyPI-Paketen wurden dem legitimen öffentlichen Quellcode schädliche Inhalte hinzugefügt, was zu einem PyPI-Release-Paket führte, das weitgehend dem Open-Source-Code, auf dem es aufbaut, ähnelt, jedoch einige subtile (und böswillige) Änderungen aufweist, die leicht zu erkennen sind übersehen.

Die Lektion für Entwicklungs- und Anwendungssicherheitsteams besteht darin, dass Release-Pakete schädliche Funktionen enthalten können (und dies auch tun), die in Open-Source-Repositorys nicht vorhanden sind und daher allein durch Quellcode-Scans oder manuelle Quellcode-Überprüfungen nicht erkannt werden können. Diese Teams benötigen eine Methode, um verdächtige Inhalte in den endgültigen Release-Paketen selbst zu erkennen, um nicht Opfer von Supply-Chain-Angriffen wie dieser VMConnect PyPI-Kampagne zu werden.

Es ist auch aufschlussreich, einen genaueren Blick auf die Methoden zu werfen, mit denen die Angreifer in diesem Fall ihre böswilligen Absichten verschleierten, einschließlich der Aufmachung ihrer Schadsoftware, um legitime und weit verbreitete Open-Source-Pakete zu imitieren.

Wie oben erwähnt, ahmen die von uns entdeckten Pakete eine Vielzahl bekannter PyPI-Pakete mit weiten Verbreitungsgebieten nach, dienen aber sehr unterschiedlichen Zwecken. Der rote Faden, der die nachgeahmten PyPI-Pakete verbindet, scheint nichts anderes als ihre Beliebtheit, gemessen an monatlichen Downloads, zu sein.

In jedem Fall haben die Angreifer ihre PyPI-Pakete so getarnt, dass sie wie diese weit verbreiteten und legitimen Tools aussehen. Dazu gehörte das Kopieren der Paketbeschreibung und das Einfügen in ihre Nachahmungspakete, wobei einfach der legitime Paketname durch den Namen des Betrügerpakets ersetzt wurde.

Aus der Sicht eines Bedrohungsforschers oder Vorfallshelfers erleichtert ihr mangelnder Aufwand die Aufdeckung der List. Bei unserer Recherche ergab eine Google-Suche nach dem ersten Satz der Beschreibung sofort das entsprechende, legitime Paket, das nachgeahmt wurde. Wie in den Abbildungen 9 und 10 zu sehen ist, sind die Beschreibungen der PyPI-Pakete und Github-Projekte bis auf den Projektnamen identisch.

Abbildung 9: Github-Beschreibung des bösartigen VMConnect-Projekts.

Abbildung 10: Github-Beschreibung des legitimen vConnector-Projekts.

In diesem Fall handelt es sich bei vConnector um ein recht beliebtes Paket, das erstmals vor neun Jahren veröffentlicht wurde, wobei die letzte Änderung vor fast vier Jahren im Github-Repository gespeichert wurde. Download-Statistiken für dieses Paket zeigen, dass es fast 40.000 Downloads pro Monat hat. Eine große Anzahl monatlicher Downloads in Kombination mit dem Mangel an aktueller Wartung machen dieses Paket zu einem sehr guten Ziel für Identitätsdiebstahl.

Am 19. Juli wurden sieben verschiedene Versionen eines Pakets mit dem Titel osinfopkg im PyPI-Repository veröffentlicht und zum Entwickeln und Testen der schädlichen Funktionalität verwendet, die schließlich in das VMConnect-Paket aufgenommen wurde. Da es sich um ein Testpaket handelte, gab der böswillige Akteur keine Auskunft Es wurde zu viel Wert darauf gelegt, dass es vertrauenswürdig aussieht, obwohl ein dediziertes Github-Repository erstellt wurde, das zwei weitere Projekte enthält.

Dann, am 31. Juli, wurde ein weiteres Paket namens ether veröffentlicht. In diesem Fall gab sich der Bedrohungsakteur als das beliebte Paket eth-tester aus – eine Sammlung von Tools zum Testen von Ethereum-basierten Anwendungen, die mehr als 60.000 monatliche Downloads verzeichnet. Wie das Forschungsteam von ReversingLabs beim VMConnect-Paket beobachtete, wurde die Ether-Beschreibung wörtlich aus dem Ether-Tester-Paket kopiert, wobei nur der Paketname ersetzt wurde.

Auch hier wurde ein gefälschtes Github-Repository erstellt und schädliche Funktionen in der Datei utils/based.py im entsprechenden PyPI-Paket versteckt. Die schädliche Datei ist nicht im Github-Quellcode-Repository vorhanden, sondern nur im PyPI-Paket. Der Bedrohungsakteur veröffentlichte außerdem die neueste Version seines Schadpakets mit der Versionsnummer 1.10.1b1. Dies steht im Einklang mit der Versionsnummerierungskonvention des imitierten Pakets und ist höher als die neueste veröffentlichte Version des imitierten Pakets. Der gleiche Ansatz wird auf die bösartige Quantiumbase angewendetPaket, das sich als legitimes Datenbankpaket ausgibt.

Zum Glück für Python-Entwickler war keines der von uns entdeckten Pakete sehr lange zum Download verfügbar. Die meisten, einschließlich des VMConnect-Pakets, wurden innerhalb von ein bis drei Tagen nach der Veröffentlichung aus PyPI entfernt.

Aufgrund von Einschränkungen in der PyPI-Plattform wissen wir nicht, warum diese Pakete entfernt wurden: ob sie von internen Systemen erkannt wurden, die von PyPI selbst betrieben werden, ob Berichte von ReversingLabs oder anderen Firmen zu den Löschungen geführt haben oder ob die böswilligen Akteure selbst verantwortlich waren habe die Pakete entfernt. Die Bemühungen, von PyPI eine endgültige Antwort auf die Umstände zu erhalten, die zu den verschiedenen Abschaltungen geführt haben, waren erfolglos.

Wir haben jedoch beobachtet, dass täglich neue Schadpakete auf PyPI veröffentlicht werden, sobald das vorherige Paket gemeldet und aus dem PyPI-Repository entfernt wird. Mit anderen Worten: Trotz der Erkennung und Entfernung der oben beschriebenen Pakete ist diese bösartige PyPI-Kampagne am Leben und läuft weiter. Die schnelle Reaktion der Bedrohungsakteure, bösartige PyPI-Pakete zu ersetzen, lässt darauf schließen, dass es sich um eine gut geplante und organisierte Kampagne handelt und dass die böswilligen Akteure wahrscheinlich über eine vorbereitete Liste von Paketen verfügen, die zur Nachahmung geeignet sind.

Es bleiben Fragen zu den Schlüsselelementen dieser böswilligen Lieferkettenkampagne offen. Darunter: Wer (oder was) hat die Schadpakete gepostet, was das eigentliche Ziel der Angriffe ist und warum die Kampagne gestartet wurde.

Was die Frage angeht, wer: Wir verfügen nicht über ausreichende Telemetriedaten, um einen oder mehrere Bedrohungsakteure als Verantwortliche für die jüngste Kampagne zu identifizieren. Durch die Veröffentlichung der von uns gesammelten IOCs einschließlich der Befehls- und Kontrollinfrastruktur hoffen wir jedoch, dass andere diese möglicherweise mit Beweisen für bekannte Angriffe und Bedrohungsakteure in Verbindung bringen können, um dabei zu helfen, das Gesamtbild dieser Kampagne zu vervollständigen.

Bisherige Angriffe auf die Lieferkette, die PyPI, npm und andere öffentliche Repositories nutzen, reichen von ausgefeilten (IconBurst) bis hin zu einfachen (Operation Brainleeches). Während die VMConnect-Kampagne nicht viele der verräterischen Anzeichen einer raffinierten nationalstaatlichen Kampagne aufweist, handelt es sich auch nicht um eine Copy-and-Paste-Operation für „Skript-Kiddie“. Es sind weitere Daten erforderlich, um Rückschlüsse darauf zu ziehen, wer oder was für diese böswillige PyPI-Kampagne verantwortlich ist.

Ebenso war es dem Forschungsteam nicht möglich, die Ergebnisse der zweiten Stufe zu erhalten, die bei diesen Angriffen verwendet wurden. Wie bereits erwähnt, haben die kompromittierten Endpunkte, die ReversingLabs beobachtete, lediglich C2-Server abgefragt, die auf weitere Befehle (und vermutlich Downloads) warteten. Wir konnten jedoch keinen aktiven Austausch beobachten, was darauf hindeuten könnte, dass die böswilligen Akteure die Infrastruktur nicht aktiv nutzten oder dass die von uns kontrollierten kompromittierten Endpunkte für sie nicht von Interesse waren.

Da es keinen Einblick in die späteren Phasen dieser Kampagne gibt, ist es unmöglich zu wissen, was ihr letztendlicher Zweck war: Diebstahl sensibler Daten oder geistigen Eigentums? Überwachung? Ransomware? Alle oben genannten? Bevor wir über ihre Absicht spekulieren können, sind weitere Daten erforderlich, die das gesamte Ausmaß dieser Kampagne offenbaren.

Indicators of Compromise (IoCs) beziehen sich auf forensische Artefakte oder Beweise im Zusammenhang mit einer Sicherheitsverletzung oder unbefugten Aktivitäten in einem Computernetzwerk oder -system. IOCs spielen eine entscheidende Rolle bei Cybersicherheitsuntersuchungen und bei der Reaktion auf Cybervorfälle und helfen Analysten und Cybersicherheitsexperten dabei, potenzielle Sicherheitsvorfälle zu identifizieren und zu erkennen.

Die folgenden IOCs wurden im Rahmen der ReversingLabs-Untersuchung der VMConnect-Software-Lieferkettenkampagne gesammelt.

45.61.139.219

ethertestnet.pro

deliworkshopexpress.xyz

Paketnamen

Ausführung

SHA1

VMConnect

1.1.7

b0095f149951241c6e11e0d1be1f74e8cdfbdbb2

VMConnect

1.1.7

2ff1b3aa2dbff6d87447b250a8d19241e7853ab0

osinfopkg

0,0,2

67226da423ab4a2c97b2d008dec45280aaa5fdf5

osinfopkg

0,0,2

146942c5dbaba55be174b1bfb127410e332caa03

osinfopkg

0,0,3

0eb79e80c51c0e14be3620dfb237f7b53160a292

osinfopkg

0,0,3

bc2d48d6d9eeaf0b29625683942e90dfd2b75723

osinfopkg

0,0,4

9a276ca3678898f5596166416f7e709a2064e95c

osinfopkg

0,0,4

658605988c7afd9adf437fb64ff682cb4190f144

osinfopkg

1.0.1

5f03b73d56528ecbc3f24b8e7daec6b3d3370834

osinfopkg

1.0.1

19684554e4905bb3cf354a5d5a0f00d696f38926

osinfopkg

1.0.2

e531121b137182453f0d120be860ad882d2dc0a7

osinfopkg

1.0.2

b1f2d50be0aca0672475488d77c6f71a1b0633f8

osinfopkg

1.0.3

de4e9efeace6ff76dc00a166dca152dc3021d799

osinfopkg

1.0.3

664f0913a5952eeb77373f83e090fab7e94aa45e

osinfopkg

1.0.4

bd7ba47f730c2bc33afa67a39d9cbe3768f62426

osinfopkg

1.0.4

0dc723e77a5b97183a90eaecb62c9b7341e483ed

Äther

0.9.1b1

6bf76b01bd17f370cd3f9947135bf250597d1ac1

Äther

0.9.1b1

497df2fd2dba324be04cc57f50a3170b532aa70c

Äther

1.10.1b1

d404a55f1f7fbcd8b3156a84ebcf97c57ba24b95

Äther

1.10.1b1

9588affaf9d85e2141b9d76b914d9f89a8292574

Datenbanken

0,7,0

dbc14c3ac0528a8aeb6edba8a0b2792dab131102

Datenbanken

0,7,0

0b7b4444f820e9990dfeb5e2080321b5f25a9785

Datenbanken

0.8.1

e6494b9a91862191556d77022e5577ddbe749ef4

Datenbanken

0.8.1

a1b039f88c385f5c5eec2ef1701251c7341b1fcd

Diese neuesten Beispiele für Schadpakete auf der PyPI-Plattform sind in vielerlei Hinsicht typisch. Sie imitieren beliebte und legitime Open-Source-Pakete mit Zehntausenden monatlichen Downloads und verstecken schädliche Funktionen in Base64-codierten Zeichenfolgen, die zusätzliche Befehle von einem C2-Server herunterladen. Das Forschungsteam von ReversingLabs hat in den letzten Monaten viele Variationen dieses Angriffsmusters gesehen.

Was bedeutet das für Sicherheitsteams und Entwicklungsorganisationen? Die VMConnect-Kampagne erinnert daran, dass in Open-Source-Repositories Bedrohungen lauern und dass Standardpraktiken wie automatisierte Quellcodeüberprüfungen nicht ausreichen, um sie auszumerzen.

Der Quellcode für die auf GitHub veröffentlichten schädlichen Module war nicht bösartig, unterschied sich jedoch erheblich vom Inhalt der Release-Pakete, die schließlich als Abhängigkeiten von Drittanbietern in die Release-Artefakte kompiliert wurden. Hinweise darauf, dass etwas nicht stimmte – etwa Base64-codierte Zeichenfolgen – waren leicht zu erkennen, wenn man wusste, wo man danach suchen musste. Dennoch werden solche Indikatoren bei herkömmlichen Anwendungssicherheitstests und manuellen Codeüberprüfungen häufig nicht bemerkt.

Die ReversingLabs Software Supply Chain Security-Plattform kann Sie bei Sicherheitsbewertungen unterstützen, indem sie Anzeichen schädlicher Funktionalität aufspürt, Paketabhängigkeiten von Drittanbietern bewertet und eine breite Palette von Verhaltensindikatoren bereitstellt. Diese Indikatoren können aus verschiedenen Dateiformaten extrahiert und zur Erkennung dieser Art von Bedrohung verwendet werden, bevor sie zur Bereitstellung von Schadcode in Ihrer Umgebung führt, der Ihrem Unternehmen finanziellen Schaden zufügt und den Ruf des Unternehmens schädigt

*** Dies ist ein vom Security Bloggers Network syndizierter Blog von ReversingLabs Blog, verfasst von Karlo Zanki. Lesen Sie den Originalbeitrag unter: https://www.reversinglabs.com/blog/vmconnect-malicious-pypi-packages-imitate-popular-open-source-modules