How do you feel downloading (Virus-)Packages with Python?

Started by Theo Gottwald, July 30, 2024, 11:43:26 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Theo Gottwald

[English]
One of the reasons why I don't like Python and try not to use it if possible is that you always download packages from the Python Package Index and have no real control over what you are downloading to your computer. 📦💻❌

Cybersecurity researchers have discovered a malicious package in the Python Package Index (PyPI) that specifically targets Apple macOS systems to steal Google Cloud credentials from a small group of victims. 🐍💻

The package, named "lr-utils-lib," was downloaded a total of 59 times before it was removed. 📥 It was uploaded to the repository in early June 2024. 📅

"The malware uses a list of predefined hashes to target specific macOS machines and attempts to harvest Google Cloud authentication data," said Checkmarx researcher Yehuda Gelb in a report on Friday. 🔍💼 "The stolen credentials are sent to a remote server." 🌐

An important aspect of the package is that it first checks whether it has been installed on a macOS system and only then compares the Universally Unique Identifier (UUID) of the system with a hardcoded list of 64 hashes. 🔒

If the compromised machine belongs to the predefined list, it attempts to access two files: application_default_credentials.json and credentials.db, which are located in the directory ~/.config/gcloud and contain Google Cloud authentication data. 📂🔑

#Cybersecurity #Malware #Apple #GoogleCloud #Python #Privacy #DataProtection #TechNews #SecurityAlert #StaySafe 🛡�✨

[German]

Einer der Gründe, warum ich Python nicht mag und es, wenn möglich, nicht benutze, ist, dass man immer Pakete vom Python Package Index herunterlädt und dabei keine wirkliche Kontrolle darüber hat, was man auf seinen Computer herunterlädt. 


Cybersecurity-Forscher haben ein bösartiges Paket im Python Package Index (PyPI) entdeckt, das gezielt Apple macOS-Systeme angreift, um die Google Cloud-Anmeldeinformationen von einer kleinen Gruppe von Opfern zu stehlen.

Das Paket mit dem Namen "lr-utils-lib" wurde insgesamt 59 Mal heruntergeladen, bevor es entfernt wurde. Es wurde Anfang Juni 2024 in das Repository hochgeladen.

,,Die Malware verwendet eine Liste vordefinierter Hashes, um spezifische macOS-Maschinen anzugreifen und versucht, Google Cloud-Authentifizierungsdaten zu ernten", sagte der Checkmarx-Forscher Yehuda Gelb in einem Bericht am Freitag. ,,Die erbeuteten Anmeldeinformationen werden an einen Remote-Server gesendet."

Ein wichtiger Aspekt des Pakets ist, dass es zunächst überprüft, ob es auf einem macOS-System installiert wurde, und erst dann den Universally Unique Identifier (UUID) des Systems mit einer fest codierten Liste von 64 Hashes vergleicht.

Wenn die kompromittierte Maschine zu den in der vordefinierten Liste angegebenen gehört, versucht sie, auf zwei Dateien zuzugreifen: application_default_credentials.json und credentials.db, die sich im Verzeichnis ~/.config/gcloud befinden und Google Cloud-Authentifizierungsdaten enthalten.

🚨🔒💻 #Cybersecurity #Malware #Apple #GoogleCloud #Python #Privacy #DataProtection #ThreatAlert #StaySafe #TechNews 🛡�⚠️🔍💡

Malicious PyPI Package Targets macOS to Steal Google Cloud Credentials