Cybersicherheitsforscher von Phylum haben eine neue Form von Malware in einem PyPI-Paket gefunden, das Unicode zum Verstecken verwendete.
Unicode ist ein globaler Codierungsstandard, der für verschiedene Sprachen und Schriften verwendet wird und mehr als 100.000 Zeichen abdeckt, dessen Ziel es ist, die Darstellung von Zeichen in elektronischen und digitalen Geräten zu vereinfachen und zu rationalisieren. Mit Unicode erhält jeder Buchstabe, jede Ziffer und jedes Symbol einen eindeutigen numerischen Wert, der unabhängig vom verwendeten Programm oder der verwendeten Plattform gleich bleibt.
Die Malware heißt „onyxproxy“, sie ist ein Infostealer auf der Jagd nach Entwickler-Anmeldedaten und Authentifizierungstoken. Es war eine Woche lang auf PyPI verfügbar, bevor es heruntergefahren wurde, und während dieser Zeit gelang es, 183 Downloads zu erhalten, was bedeutet, dass bis zu 183 verschiedene Entwickler dem Risiko von Anmeldeinformationen und Identitätsdiebstahl ausgesetzt sind.
Sich vor aller Augen verstecken
Die Malware enthält ein Paket namens „setup.py“, das laut den Forschern „Tausende“ verdächtiger Code-Strings enthält, die eine Kombination von Unicode-Zeichen verwenden.
Oberflächlich betrachtet sehen die Charaktere normal und gutartig aus – jedoch sind das, was das menschliche Auge sieht, und das, was das Programm sieht, zwei völlig verschiedene Dinge.
In onyxproxy gibt es drei kritische Kennungen: „__import__“, „subprocees“ und „CryptoUnprotectData“. Diese haben eine große Anzahl von Varianten, was sie ideal macht, um auf String-Matching basierende Verteidigungen zu schlagen, erklären die Forscher.
Während die Technik kompliziert klingen mag, behaupten die Forscher, dass sie nicht gerade ausgeklügelt ist. Allerdings soll der Missbrauch von Unicode zum Verstecken bösartiger Pythons dienen (öffnet in neuem Tab) Code zum Trend werden, könnte er Anlass zur Sorge geben.
„Aber wer auch immer dieser Autor diesen verschleierten Code kopiert hat, ist schlau genug, um zu wissen, wie man die Interna des Python-Interpreters verwendet, um eine neuartige Art von verschleiertem Code zu generieren, eine Art, die einigermaßen lesbar ist, ohne zu viel von dem genauen Code preiszugeben versucht zu stehlen”, schließt Phylum.
- Hier sind die derzeit besten Tools zum Entfernen von Malware
Über: Piepender Computer (öffnet in neuem Tab)