NERDMANPython-Paket mit 1,1 Millionen Downloads stiehlt Krypto
Ein Angreifer hat das beliebte PyPI-Paket „elementary-data" gekapert und eine manipulierte Version hochgeladen. Darin versteckt: ein Infostealer, der Entwickler-Daten und Krypto-Wallets abgreift.
Die Zahlen
- 1,1 Mio.** — monatliche Downloads des Pakets
- 1** — manipulierte Version reichte aus
- 0** — Sekunden Warnung für Entwickler
Was konkret passiert ist
Der Angreifer verschaffte sich Zugang zum PyPI-Konto des Paket-Maintainers. Dann lud er eine neue Version von „elementary-data" hoch — äußerlich identisch, innerlich verseucht. Jeder Entwickler, der per `pip install` aktualisierte, holte sich den Infostealer auf die Maschine.
Die Malware sammelte sensible Daten: Browser-Cookies, gespeicherte Passwörter, SSH-Keys und Krypto-Wallets. Alles wurde an einen externen Server geschickt.
Was das bedeutet
Supply-Chain-Angriffe über Paketmanager sind die neue Lieblings-Waffe. Entwickler vertrauen blind auf `pip install` — genau das wird ausgenutzt. Ein einziges kompromittiertes Paket reicht, um Tausende Maschinen gleichzeitig zu infizieren. Und anders als bei Phishing-Mails braucht der Angreifer kein Social Engineering. Das Opfer installiert die Malware freiwillig.
Pro (für den Angreifer)
- Massiver Blast Radius durch automatische Updates
- Kein Exploit nötig — das Ökosystem liefert die Malware aus
- Kaum Erkennungschance vor der Entdeckung
Con (für die Community)
- PyPI hat keine verpflichtende Zwei-Faktor-Authentifizierung für alle Maintainer
- Code-Signing für Pakete existiert praktisch nicht
- Millionen Entwickler prüfen nie, was sie installieren
So schützt du dich
- Pinne Versionen** in deiner `requirements.txt` — kein blindes `>=`
- Aktiviere 2FA** auf jedem Paketmanager-Konto
- Prüfe Changelogs** vor Updates kritischer Abhängigkeiten
- Nutze Tools** wie `pip-audit` oder `safety` für automatische Checks
