Hackers verbreiten bösartiges Python-Paket, das legitimen Parsimonious Parser täuscht

Ein betrügerisches Python-Paket hat sich stillschweigend in das PyPI-Repository eingeschlichen und Tausende ährdet, bevor es entdeckt und entfernt wurde. Das Paket „parsimonius" war so konzipiert, dass es fast identisch mit der weit verbreiteten Bibliothek „parsimonious" wirkte.

Letztere ist ein beliebtes Werkzeug zum Erstellen im Namen war kein Zufall, sondern ein kalkulierter Versuch, Entwickler dazu zu bringen, das falsche Paket zu installieren, ohne es zu bemerken. Der Angriff basierte auf der Technik des Typosquatting, bei der ein Angreifer einen Paketnamen registriert, der einem vertrauenswürdigen Paket stark ähnelt.

Noch problematischer war, dass der Angreifer dem bösartigen Paket eine Versionsnummer zuwies, die als neuer als die legitime Veröffentlichung erschien.

Dies erhöhte die Wahrscheinlichkeit einer Installation erheblich, insbesondere bei Entwicklern, die auf automatische Abhängigkeitsauflösung angewiesen sind oder den vollständigen Paketnamen vor dem Klicken auf „Installieren" nicht überprüfen. Sicherheitsanalysten bösartige Software und teilten ihre Erkenntnisse in einem Bericht mit