Die weltweite Nutzung von Social-Media-Plattformen wie TikTok und Instagram hat in den letzten Jahren exponentiell zugenommen. Milliarden von Nutzern interagieren täglich mit diesen Diensten, was sie zu attraktiven Zielen für Cyberkriminelle macht. Angesichts der stetig wachsenden Bedrohungen rücken nun bösartige Python-Pakete ins Rampenlicht, die über den Python Package Index (PyPI) verbreitet werden. Diese sogenannten „Checker“-Pakete wurden entwickelt, um anhand von E-Mail-Adressen herauszufinden, ob ein Konto bei TikTok oder Instagram besteht. Die damit verbundenen Risiken sind enorm und betreffen sowohl Nutzer als auch Entwickler, die unwissentlich solche Pakete herunterladen und einsetzen.
Die Funktion der sogenannten Checker-Pakete besteht darin, große Mengen von gestohlenen oder geleakten E-Mail-Adressen automatisiert zu überprüfen. Dabei werden die Adressen über API-Endpunkte der betroffenen Plattformen geschickt, um festzustellen, ob ein Konto existiert. Die Pakete wie checker-SaGaF, steinlurks oder sinnercore sind Beispiele für solche bösartigen Tools, die gezielt TikTok- und Instagram-Accounts validieren. Dies geschieht durch die Ausnutzung interner oder privater API-Endpunkte, die eigentlich für legitime Zwecke vorgesehen sind, etwa zum Zurücksetzen von Passwörtern oder zur Kontoerkennung. Indem diese Pakete die APIs unter vorgetäuschten Umständen ansprechen, können sie in der Antwort erkennen, ob das eingegebene E-Mail-Konto registriert ist.
Die Gefährlichkeit liegt darin, wie detailliert und technisch ausgeklügelt diese Pakete vorgehen. Beim TikTok-bezogenen Checker-SaGaF wird beispielsweise eine Funktion genutzt, die eine interne, eigentlich private API anspricht, welche normalerweise für Passwortwiederherstellungen dient. Über gefälschte Header, Cookies und weitere Anforderungsparameter wird die Anfrage so getarnt, dass sie wie ein legitimer Client aussieht. Bei erfolgreicher Überprüfung gibt die API eine Erfolgsmeldung wie „Sent successfully“ zurück, was den Angreifern signalisiert, dass ein Konto zu dieser E-Mail existiert. Somit lässt sich eine umfangreiche Liste mit validen Konten schnell erstellen.
Instagram-Checkers wie steinlurks gehen noch einen Schritt weiter und nutzen mehrere unterschiedliche Funktionen, um das Risiko zu streuen und Erkennung zu erschweren. Dabei bedienen sich diese Werkzeuge verschiedener interner API-Endpunkte, von denen jeder unterschiedliche Aspekte von Instagram-Konten prüfen kann. Einige Funktionen nutzen Endpunkte, die zur Kontowiederherstellung bzw. zum Zurücksetzen von Passwörtern vorgesehen sind, andere simulieren Webseiteninteraktionen der Instagram-Anmeldung. Durch wechselnde User-Agent-Strings, variierende Header und komplexe Parametrierungen versuchen die Angreifer, anti-Bot-Schutzmechanismen zu umgehen und Sperren zu entgehen.
Das dritte vorgestellte Paket sinnercore verfolgt eine etwas abweichende Strategie. Hier wird nicht nur überprüft, ob Konten existieren, sondern auch aktiv der Passwort-Wiederherstellungsprozess angetriggert. Dies hat den doppelten Effekt, dass der Angreifer die Existenz eines Nutzers bestätigen kann und gleichzeitig das Opfer mit ungewollten Benachrichtigungen belästigt. Darüber hinaus verfügt sinnercore über OSINT-Funktionalitäten, mit denen weitere persönliche Informationen aus den Instagram-Profilen extrahiert sowie Verbindungen zu Telegram-Konten hergestellt werden können. Diese breitgefächerte Funktionalität macht sinnercore besonders vielseitig und gefährlich.
Die Erkennung und Entfernung solcher schädlichen Pakete aus PyPI wurde von Sicherheitsforschern gemeldet. Dennoch zeigt die Präsenz und die regelmäßige Aktualisierung dieser Pakete im Index, wie schwierig es ist, sie schnell und dauerhaft zu beseitigen. Die Gefahr für Entwickler, die auf dieser Plattform nach praktischen Tools suchen, ist real: Der unbewusste Einsatz solcher Pakete kann nicht nur die eigene IT-Infrastruktur kompromittieren, sondern indirekt auch zur Verbreitung von Nutzerangriffen beitragen. Für die betroffenen Nutzer bedeuten die validierten Accountlisten eine noch größere Angriffsfläche. Cyberkriminelle können diese Informationen verwenden, um gezielte Phishing-Kampagnen zu starten, Kontoübernahmen durch Credential Stuffing und Password Spraying durchzuführen oder beliebte Accounts für Missbrauch zu identifizieren.
Zudem können Hacker die in den Listen enthaltenen E-Mail-Adressen und die damit verknüpften Konten als Handelsware auf dem Dark Web verkaufen. Dort sind Daten zu großem Teil für vergleichsweise geringe Preise erhältlich und treiben die Kreisläufe von Identitätsdiebstahl und Betrug weiter an. Betroffene Nutzer sollten besonders wachsam sein und regelmäßig prüfen, ob ihre E-Mail-Adressen oder Passwörter öffentlich in Datenlecks aufgetaucht sind. Dienste wie „Have I Been Pwned“ bieten hier einfachen Zugang zu solchen Informationen. Sobald kompromittierte Daten entdeckt werden, ist es ratsam, umgehend Passwörter zu ändern und, falls möglich, Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, um die Sicherheit der Konten zu erhöhen.
Auch Entwickler und IT-Teams tragen Verantwortung. Beim Einsatz von externen Paketen sollte stets geprüft werden, ob der Code vertrauenswürdig ist und keine unautorisierte Kommunikation mit externen APIs durchführt. Tools zur automatisierten Sicherheitsanalyse, wie die GitHub App oder CLI-Tools von Sicherheitsfirmen, können helfen, unsichere Abhängigkeiten frühzeitig zu erkennen. Zudem bieten Browser-Erweiterungen, die Paketseiten auf PyPI live überwachen, einen zusätzlichen Schutzmechanismus während der Recherche oder Installation. Darüber hinaus sollten Plattformen wie TikTok und Instagram ihre internen APIs besser absichern, um Missbrauch zu verhindern.
Maßnahmen können verstärkte Ratenbegrenzungen, sichere Authentifizierung für API-Zugriffe sowie das Erkennen und Blockieren von ungewöhnlichem Traffic umfassen. Gleichzeitig ist die Sensibilisierung von Nutzern wichtig, um das Bewusstsein für Datenschutz und Credential-Sicherheit zu erhöhen. Letztlich ist das Geschehen rund um diese bösartigen Python-Pakete ein deutliches Warnsignal für die gesamte Community. In Zeiten hoher Automatisierung und globaler Vernetzung steigen die Anforderungen an Transparenz, Sicherheit und Verantwortung in der Softwareentwicklung permanent. Nur durch gemeinsames Engagement von Entwicklern, Plattformbetreibern und Nutzern kann das Risiko durch solche Angriffsvektoren reduziert werden.
