• Avancerad leveranskedjeattack mot PyPI och NPM avslöjad: Falska paket med bakdörrar för Windows och Linux

    En ny och sofistikerad attack mot mjukvarans leveranskedja har avslöjats av säkerhetsforskningsgruppen Checkmarx Zero. Angreppet riktar sig mot både Python- och JavaScript-utvecklare genom paket som distribuerats via PyPI och NPM. Genom att utnyttja felstavningar och namnförvirring har angriparna lyckats sprida skadlig kod med förmåga att ta kontroll över både Windows- och Linuxsystem – inklusive möjligheten till fjärråtkomst, datastöld och långvarig närvaro i komprometterade miljöer.

    Så fungerar attacken: namnförvirring och typosquatting

    Forskarna, ledda av Ariel Harush, identifierade en attack där falska paket laddades upp till PyPI med namn som starkt påminde om det populära Python-paketet colorama samt NPM-paketet colorizr. Metoden kallas typosquatting – att lura användare att installera fel paket genom små stavfel eller namnförväxling.

    Det ovanliga i denna kampanj är att angriparna använde ett paketnamn från ett ekosystem (NPM) för att rikta sig mot användare i ett annat (PyPI), vilket tyder på en avancerad och målmedveten taktik.

    Windows: skadeprogram med uthållighet och förmåga att undgå upptäckt

    På Windows-sidan innehöll de skadliga paketen körbara filer och skript som hämtades och aktiverades vid installation. Vissa av dessa kopplades till GitHub-kontot github.com/s7bhme.

    De skadliga funktionerna omfattade bland annat:

    • Insamling av miljövariabler från Windows-registret (kan innehålla känslig information).
    • Användning av Windows Task Scheduler för att skapa flera schemalagda uppgifter med olika skadeprogram.
    • Detektion av säkerhetsprogram och dynamisk anpassning av beteende för att undvika upptäckt.
    • Utskick av stulen data till externa servrar.
    Linux: avancerade bakdörrar med krypterad kommunikation

    För Linux analyserade forskarna bland annat paketen Colorizator och coloraiz. Dessa innehöll Base64-kodad skadlig kod som gömts i init-filer. När denna kod kördes skedde följande:

    1. En RSA-nyckel skrevs till /tmp/pub.pem.
    2. Ett skript laddades ned från gsocket.io/y, som installerade verktyget gs-netcat för krypterade bakdörrar.
    3. Utdata från gs-netcat krypterades, base64-kodades och skickades till Pastebin via API.
    4. Tillfälliga filer raderades för att dölja spår.

    Det nedladdade skriptet kunde:

    • Upprätthålla närvaro via systemd, crontab, shell-profiler och rc.local.
    • Kamouflera sig som systemprocesser (exempelvis kworker, kswapd0).
    • Kommunicera med angripare via Discord, Telegram och egna webhookar.
    • Stjäla information och upprätta långvarig fjärrstyrning.
    Tecken på intrång (Indicators of Compromise, IoC)
    TypVärdeBeskrivning
    GitHub-kontogithub.com/s7bhmeUrsprung till vissa skadeprogram och mallar
    Webhook-URLwebhook.site/dc3c1af9-ea3d-4401-9158-eb6dda735276Används för att skicka stulen data
    Paketägarerick_grimes, morty_smith, reven, m5tl, dsssAlias som använts för att ladda upp skadliga paket
    Filhash (Linux)d30c78c64985a42c34ef142fd8754a776c8db81228bafc385c5bd429252e4612Bash-skript från Linux-paket
    Filhash (Windows)daef5255eac4a4d16940e424c97492c6bad8fdafd2420632c371b9d18df3b47fKörbart Windows-program (x69gg.exe)
    Attribution och misstanke om flera angripare

    Initialt antog forskarna att samma aktör låg bakom både Windows- och Linux-varianterna, men analysen visade på skillnader i teknik, infrastruktur och metoder. Det är därför möjligt att flera oberoende grupper har använt liknande angreppssätt.

    Rekommenderade skyddsåtgärder

    Även om de skadliga paketen har tagits bort från publika källor, är hotbilden inte över. Checkmarx rekommenderar att organisationer:

    • Granskar alla kodbaser och beroenden för misstänkta paketnamn.
    • Söker igenom privata paketregister (t.ex. Artifactory, Nexus) och blockerar skadliga paket.
    • Säkerställer att dessa paket inte finns i utvecklings- eller testmiljöer.
    • Automatiserar upptäckt och blockering via Threat Intelligence-lösningar där det är möjligt.
    Slutsats

    Denna kampanj visar tydligt hur sårbar mjukvarans leveranskedja kan vara, särskilt i miljöer där öppen källkod och automatiserade installationer är vanliga. Genom att utnyttja enkla men effektiva metoder som typosquatting och ekosystemförvirring, lyckas angripare plantera kraftfull och svårupptäckt skadlig kod.

    Det är avgörande att utvecklare, DevOps-teams och säkerhetsansvariga stärker sina rutiner för kontroll av beroenden och aktivt övervakar ekosystemen för denna typ av hot.

    PyPI Supply Chain Attack Uncovered: Colorama and Colorizr Name Confusion
annons

Trasig dator?

Datorreparation Stockholm
  • Vi fixar trötta speldatorer
  • Byter skärm på laptops
  • Hjälper dig att byta dator
  • Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00



Datorreparation Stockholm
Orrspelsvägen 13, Bromma

Arkiv

wiki.linux.se

Datorhjälp hemma

Datorhjälp hemma – 350 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

  • Fwupd 2.0.11 Released with New SELinux Metadata Support
    Fwupd 2.0.11, a Linux firmware updater tool, introduces a new reboot check command for scripting and adds SELinux state reporting, alongside numerous device compatibility and bug fixes. The post Fwupd 2.0.11 Released with New SELinux Metadata Support appeared first on Linux Today.
  • Fwupd 2.0.11 Linux Firmware Updater Supports Lenovo Thunderbolt 5 Smart Docks
    Coming two weeks after fwupd 2.0.10, the fwupd 2.0.11 release adds support for the Lenovo Thunderbolt 5 Smart dock, a new check-reboot-needed command for scripts to use, support for reading the SELinux state in the report failure metadata, and support for the Dell dock ownership command. The post Fwupd 2.0.11 Linux Firmware Updater Supports Lenovo […]
  • New Pumabot Botnet Brute-Forces SSH Credentials to Hijack IoT Devices
    In today’s connected world, IoT devices are becoming increasingly common, powering everything from home automation to industrial systems. However, this rapid growth has also expanded the attack surface for cybercriminals. A recent discovery of the Pumabot botnet demonstrates how attackers are exploiting weak security, particularly poor SSH credential management, to breach and control vulnerable devices. […]
  • Ubuntu Touch OTA-9 Released with VoLTE and Waydroid Improvements
    Ubuntu Touch OTA-9 is here three months after Ubuntu Touch OTA-8 to update VoLTE support so that it works out-of-box with more carriers on several Volla devices, update Waydroid with initial support for upcoming official Android 13 images, and introduce a new Noto Color Emoji font to improve support for some newer emojis. The post […]
  • How to Install WordPress on Debian 13
    This blog post teaches you how to install WordPress on Debian 13. WordPress is an open-source web content management system written in PHP that stores data in the MySQL database system. It is among the most popular content management systems used by nearly a quarter of the top one million websites. WordPress was created as […]
  • Alpine Linux 3.22.0: Not Just for Servers, Containers, and IoT
    Everybody knows that Alpine Linux is a great base OS for containers and IoT devices, and it works great for running servers in data centers. We decided to test its performance on a desktop. The post Alpine Linux 3.22.0: Not Just for Servers, Containers, and IoT appeared first on Linux Today.
  • Ubuntu Touch OTA-9 Rolls Out With VoLTE and Waydroid Upgrades
    Ubuntu Touch OTA-9 is out with VoLTE improvements, Waydroid 1.5.1 support, emoji font upgrade, and bug fixes. The post Ubuntu Touch OTA-9 Rolls Out With VoLTE and Waydroid Upgrades appeared first on Linux Today.
  • How to Restrict Users to FTP Access Only on Linux
    There are situations when you want to allow a user to access a system solely through FTP, while blocking all other forms of access like SSH or shell logins. This approach is particularly useful in managed hosting environments or shared systems where limiting user capabilities can improve both performance and security. For a deeper understanding […]
  • How To Check Disk Health In Linux: A Beginners Guide
    Learn how to check disk health in Linux using smartctl, badblocks, and fsck utilities. Identify failing HDDs/SSDs early and prevent data loss. The post How To Check Disk Health In Linux: A Beginners Guide appeared first on Linux Today.
  • RawTherapee 5.12 Enhances Color Tools and Camera Compatibility
    RawTherapee 5.12, a raw image processing program, introduces powerful new color tools, tone mappers, and better support for Canon, Sony, and Fujifilm RAW formats. The post RawTherapee 5.12 Enhances Color Tools and Camera Compatibility appeared first on Linux Today.

ANNONS

  • Starta inte datorn?
  • Hjälp att byta datorn?
  • Trasig laptop
  • Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

Debugpoint

  • Fedora 42: Best New Features
    Fedora 42 Unveiled: COSMIC desktop, revamped installer, and Apple Silicon support steal the show. The Fedora Project has officially released Fedora 42, bringing a host of exciting updates and new features to its diverse line up of “spins”, including Fedora Workstation, Fedora KDE Plasma Desktop, Fedora Server, Fedora IoT, Fedora Silverblue, Fedora Kinoite, and various… […]
  • GNOME 48: Best New Features
    A fresh release of GNOME 48 is available, we run down the feature highlights. The GNOME project has unveiled GNOME 48, codenamed “Bengaluru,” a release packed with performance boosts, user-friendly enhancements, and innovative features. Named in honor of the GNOME Asia 2024 organizers, this six-month effort by the global GNOME community brings a polished and… […]
  • Xfce 4.20: Best New Features
    A quick glance into the new features of Xfce 4.20 desktop environment. Xfce 4.20 desktop environment has arrived a few weeks back, and it’s packed with features and updates. This major release comes after two years since Xfce 4.18. Hence, it’s now more evolved, bringing experimental Wayland support, UI refinements and performance updates. Let’s dive… […]
  • Cinnamon 6.4 Brings Visual Overhaul: Key Features
    A polished and revamped desktop experience arrives with Cinnamon 6.4 desktop. For months, the Linux Mint team has been steadily improving their flagship – Cinnamon 6.4, a desktop environment update that’s not just incremental, but transformative. This release isn’t just a collection of tweaks; it’s a refined experience designed to boost productivity and enhance visual… […]
  • elementary OS 8: 10 Best New Features
    A new release of elementary OS 8 (“Circe”) is out. Here’s the rundown of the best new features of this release. After almost two years of development since the prior release, elemnetary OS is now out with its latest release 8.0 code-named “Circe”. This release is based on Ubuntu 24.04 LTS which was released on… […]
  • Creating Your Own Home Lab: Essential Setup Tips for Tech Enthusiasts
    Want to create your own home lab? Learn how to build an affordable, secure, and functional setup for programming, virtualization, and more. Building your own home lab is fun. It’s like a tech playground where you can test ideas, learn new skills and even improve your home network. Whether you’re into programming, cybersecurity or just… […]
  • Upgrade to Fedora 41 from Fedora 40 Workstation (GUI and CLI)
    Here are the upgrade steps for the new Fedora 41 release from the earlier Fedora 40 workstation version. Fedora 41 is officially available for download and the upgrade channels are now open. This release brings the latest and greatest GNOME 47 desktop for workstation editions, refinements to KDE Plasma 6.2 and more. You can read… […]
  • Fedora 41: Best New Features (Workstation Edition)
    Learn about the best new features of the Fedora 41 release. Fedora 41 released on October 29, 2024. It’s packed with exciting updates that push the boundaries of the latest innovation in the Linux distribution space. From retiring outdated packages like Python 2.7 to introducing new spins like KDE Plasma Mobile and Miracle Window Manager,… […]
  • Ubuntu 24.10: Best New Features
    A latest release of Ubuntu 24.10 “Oracular Oriole” is here. We take a look at the best new features. Ubuntu 24.10 codenamed “Oracular Oriole” released on October 10, 2024. This is the first release following Ubuntu 24.04 LTS; hence it is packed with some exciting features across the desktop and server space. This version is… […]
  • qBittorrent 5.0: New Features to Look for
    The free and open source torrent client qBittorrent 5.0 unleashes a torrent of new features. The open-source torrent client qBittorrent has rolled out version 5.0, packed with powerful new capabilities and refinements. This major release overhauls the codebase, drops legacy tech, and introduces a wealth of user-requested features. Let’s dive into the highlights: qBittorrent 5.0:… […]

9to5linux.com

  • KDE Frameworks 6.15 Improves Accessibility in Plasma’s System Settings App
    KDE Frameworks 6.15 open-source software suite is out now with various improvements and bug fixes for KDE apps and the Plasma desktop. Here's what's new! The post KDE Frameworks 6.15 Improves Accessibility in Plasma’s System Settings App appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
  • Mixxx 2.5.2 Open-Source DJ Software Adds Support for Arturia KeyLab Mk1 Controller
    Mixxx 2.5.2 open-source virtual DJ software for performing live mixes is now available for download with various improvements and bug fixes. Here's what's new! The post Mixxx 2.5.2 Open-Source DJ Software Adds Support for Arturia KeyLab Mk1 Controller appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
  • Nitrux Linux Drops Its KDE Plasma-Based NX Desktop for Hyprland
    Nitrux devs announced the deprecation of their KDE Plasma-based NX Desktop environment for Hyprland and the adoption of CachyOS' kernel. The post Nitrux Linux Drops Its KDE Plasma-Based NX Desktop for Hyprland appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • TUXEDO InfinityBook Pro 14 Gen10 Linux Laptop Unveiled with AMD Ryzen AI 300
    TUXEDO InfinityBook Pro 14 Gen10 Linux laptop is now available for pre-order with the AMD Ryzen AI 350 processor and a 3K display, The post TUXEDO InfinityBook Pro 14 Gen10 Linux Laptop Unveiled with AMD Ryzen AI 300 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, […]
  • Kali Linux 2025.2 Released with Revamped Kali Menu, 13 New Hacking Tools
    Kali Linux 2025.2 ethical hacking and penetration testing distribution is now available for download with refreshed Kali Menu and new tools. Here’s what’s new! The post Kali Linux 2025.2 Released with Revamped Kali Menu, 13 New Hacking Tools appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended […]
  • Rocky Linux 10 Is Out Now as Free Alternative to Red Hat Enterprise Linux 10
    Rocky Linux 10 distribution is now available for download based on Red Hat Enterprise Linux 10. Here's what's new! The post Rocky Linux 10 Is Out Now as Free Alternative to Red Hat Enterprise Linux 10 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, […]
  • Audacity 3.7.4 Improves Effect Preview, Studio Fade Out, and Waveform Rendering
    Audacity 3.7.4 open-source audio editor is now available for download with variious bug fixes and improvements. Here are the details! The post Audacity 3.7.4 Improves Effect Preview, Studio Fade Out, and Waveform Rendering appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • Ubuntu 25.10 “Questing Quokka” to Remove the GNOME on Xorg (X11) Session
    Canonical announced that they plan to remove the GNOME on Xorg (X11) session from the upcoming Ubuntu 25.10 "Questing Quokka" release. The post Ubuntu 25.10 “Questing Quokka” to Remove the GNOME on Xorg (X11) Session appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not […]
  • Linux Kernel 6.14 Reaches End of Life, It’s Time to Upgrade to Linux Kernel 6.15
    Linux kernel 6.14 reached end of life and all users are now recommended to upgrade their systems to the latest Linux 6.15 kernel series as soon as possible. The post Linux Kernel 6.14 Reaches End of Life, It’s Time to Upgrade to Linux Kernel 6.15 appeared first on 9to5Linux – do not reproduce this article […]
  • DXVK 2.6.2 Improves Support for Rocketbirds 2, Red Orchestra: Ostfront, and More
    DXVK 2.6.2 Vulkan-based implementation of D3D9, D3D10, and D3D11 for Linux / Wine is now available for download with improvements for several games and bug fixes. The post DXVK 2.6.2 Improves Support for Rocketbirds 2, Red Orchestra: Ostfront, and More appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed […]

Avancerad leveranskedjeattack mot PyPI och NPM avslöjad: Falska paket med bakdörrar för Windows och Linux

En ny och sofistikerad attack mot mjukvarans leveranskedja har avslöjats av säkerhetsforskningsgruppen Checkmarx Zero. Angreppet riktar sig mot både Python- och JavaScript-utvecklare genom paket som distribuerats via PyPI och NPM. Genom att utnyttja felstavningar och namnförvirring har angriparna lyckats sprida skadlig kod med förmåga att ta kontroll över både Windows- och Linuxsystem – inklusive möjligheten till fjärråtkomst, datastöld och långvarig närvaro i komprometterade miljöer.

Så fungerar attacken: namnförvirring och typosquatting

Forskarna, ledda av Ariel Harush, identifierade en attack där falska paket laddades upp till PyPI med namn som starkt påminde om det populära Python-paketet colorama samt NPM-paketet colorizr. Metoden kallas typosquatting – att lura användare att installera fel paket genom små stavfel eller namnförväxling.

Det ovanliga i denna kampanj är att angriparna använde ett paketnamn från ett ekosystem (NPM) för att rikta sig mot användare i ett annat (PyPI), vilket tyder på en avancerad och målmedveten taktik.

Windows: skadeprogram med uthållighet och förmåga att undgå upptäckt

På Windows-sidan innehöll de skadliga paketen körbara filer och skript som hämtades och aktiverades vid installation. Vissa av dessa kopplades till GitHub-kontot github.com/s7bhme.

De skadliga funktionerna omfattade bland annat:

  • Insamling av miljövariabler från Windows-registret (kan innehålla känslig information).
  • Användning av Windows Task Scheduler för att skapa flera schemalagda uppgifter med olika skadeprogram.
  • Detektion av säkerhetsprogram och dynamisk anpassning av beteende för att undvika upptäckt.
  • Utskick av stulen data till externa servrar.
Linux: avancerade bakdörrar med krypterad kommunikation

För Linux analyserade forskarna bland annat paketen Colorizator och coloraiz. Dessa innehöll Base64-kodad skadlig kod som gömts i init-filer. När denna kod kördes skedde följande:

  1. En RSA-nyckel skrevs till /tmp/pub.pem.
  2. Ett skript laddades ned från gsocket.io/y, som installerade verktyget gs-netcat för krypterade bakdörrar.
  3. Utdata från gs-netcat krypterades, base64-kodades och skickades till Pastebin via API.
  4. Tillfälliga filer raderades för att dölja spår.

Det nedladdade skriptet kunde:

  • Upprätthålla närvaro via systemd, crontab, shell-profiler och rc.local.
  • Kamouflera sig som systemprocesser (exempelvis kworker, kswapd0).
  • Kommunicera med angripare via Discord, Telegram och egna webhookar.
  • Stjäla information och upprätta långvarig fjärrstyrning.
Tecken på intrång (Indicators of Compromise, IoC)
TypVärdeBeskrivning
GitHub-kontogithub.com/s7bhmeUrsprung till vissa skadeprogram och mallar
Webhook-URLwebhook.site/dc3c1af9-ea3d-4401-9158-eb6dda735276Används för att skicka stulen data
Paketägarerick_grimes, morty_smith, reven, m5tl, dsssAlias som använts för att ladda upp skadliga paket
Filhash (Linux)d30c78c64985a42c34ef142fd8754a776c8db81228bafc385c5bd429252e4612Bash-skript från Linux-paket
Filhash (Windows)daef5255eac4a4d16940e424c97492c6bad8fdafd2420632c371b9d18df3b47fKörbart Windows-program (x69gg.exe)
Attribution och misstanke om flera angripare

Initialt antog forskarna att samma aktör låg bakom både Windows- och Linux-varianterna, men analysen visade på skillnader i teknik, infrastruktur och metoder. Det är därför möjligt att flera oberoende grupper har använt liknande angreppssätt.

Rekommenderade skyddsåtgärder

Även om de skadliga paketen har tagits bort från publika källor, är hotbilden inte över. Checkmarx rekommenderar att organisationer:

  • Granskar alla kodbaser och beroenden för misstänkta paketnamn.
  • Söker igenom privata paketregister (t.ex. Artifactory, Nexus) och blockerar skadliga paket.
  • Säkerställer att dessa paket inte finns i utvecklings- eller testmiljöer.
  • Automatiserar upptäckt och blockering via Threat Intelligence-lösningar där det är möjligt.
Slutsats

Denna kampanj visar tydligt hur sårbar mjukvarans leveranskedja kan vara, särskilt i miljöer där öppen källkod och automatiserade installationer är vanliga. Genom att utnyttja enkla men effektiva metoder som typosquatting och ekosystemförvirring, lyckas angripare plantera kraftfull och svårupptäckt skadlig kod.

Det är avgörande att utvecklare, DevOps-teams och säkerhetsansvariga stärker sina rutiner för kontroll av beroenden och aktivt övervakar ekosystemen för denna typ av hot.

PyPI Supply Chain Attack Uncovered: Colorama and Colorizr Name Confusion