Ransomware in Python-Paketmanager PyPI: Die Rückkehr der Skriptkiddies

Auf dem Python-Paketmanager PyPI fanden sich bis vor Kurzem offenbar Packages, die einen Ransomware-Angriff unter Windows starten. Der Angreifer setzt auf Typosquatting: Sonatype hat drei Pakete identifiziert, die einen ähnlichen Namen wie die häufig genutzte HTTP-Library Requests tragen: requesys, requesrs und requesr.

Eine Untersuchung des Inhalts von requesys hat Python-Code zutage gefördert, der unter Windows unter anderem durch die Benutzerverzeichnis-Unterordner „Documents“, „Pictures“, „Videos“ und „Music“ geht und die Inhalte verschlüsselt. Dabei verwendet er das Python-Modul Fernet im Paket cryptography.

Nachdem das Programm die Inhalte verschlüsselt hat, erscheint ein Fenster mit dem Hinweis darauf, dass nun die Dateien verschlüsselt seien und das Opfer leider keinen Schlüssel habe. Der Paketautor mit dem Pseudonym b8ff könne aber auf Discord helfen. Dazu solle man die Einladung auf den Discord-Server OHR (Our Hope Remains) annehmen.

Quelle: Ransomware in Python-Paketmanager PyPI: Die Rückkehr der Skriptkiddies | heise online