Laut Check Point wurden bisher von den Hackern vorrangig Node.js (NPM) und Python (PyPi) Code-Pakete genutzt. Im letzten Jahr sei auf PyPi ein verseuchtes Code-Paket Python-drgn hochgeladen worden, das den Namens eines echten Paketes genutzt habe. Es ermöglichte den Hackern neben dem Sammeln sensibler Daten vor allem den Identitätsdiebstahl und die Übernahme von Benutzerkonten. Im Unterscheid zum echten Code-Paket sei in der kriminellen Variante lediglich eine setup.py-Datei enthalten, sämtliche anderen üblichen Quell-Dateien fehlen. Der schädliche Teil verstecke sich in der Setup-Datei, die in der Python-Sprache nur für Installationen genutzt wird und automatisch Python-Pakete abruft, ohne dass eine weitere Bestätigung durch den Benutzer abgefragt wird. Andere verseuchte Code-Pakete deaktivieren als erstes den Windows Defender, um nicht entdeckt zu werden. Unter Nutzung der Python-Funktion Get werde im nächsten Schritt eine ausführbare Datei (.exe) heruntergeladen, die einen Unterprozess startet, so dass schlussendlich eine Datei in der privilegierten Entwickler-Umgebung des Systems eingenistet werden könne.
„Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung,“ so Lee Levi, Team Lead im Bereich der Mail Security bei Check Point. „Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.” Neben der Überprüfung der Quell-Codes von Drittanbieter-Programmen und -Paketen sei es ratsam, wichtige Daten sowohl bei der Übertragung als auch bei der Speicherung zu verschlüsseln und regelmäßige Audits zu den benutzten Code-Paketen durchzuführen.
Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.