Hallo Joachim,
solche supply chain attacks gibt es alle paar Monate und das schon seit Jahren (Solarwinds). NPM und PyPi und alle vergleichbaren Softwareverteilstellen sind berühmt für ihre strukturelle Unsicherheit. Mit freier Software hat das nur zufällig was zu tun.
Im übrigen hat die verlinkte Seite auf "darkreading.com" ihrerseits Spyware-Charakter, mehrere sicherheitsrelevante Fehlkonfigurationen und *149* Anfragen an Drittanbieter (1) - ein halbwegs sicher vernagelter Browser zeigt nur eine leere Seite. Dazu habe ich auf der Seite keinen Link zu einer seriösen externen Quelle gefunden - die verlinken anscheinend nur auf sich selbst.
Die Originalquelle ("A few months ago, we discovered ..." - 2) und andere seriöse Medien (zB 3) machen deutlich, dass es sich bei supply chain attacks um "tägliches Brot" handelt und nicht um sensationelle, aktuelle Eregnisse.
Unabhängig davon sind natürlich npm und PyPi und andere derartige Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein besseres Konzept hermuss. Es ist derzeit die Verantwortung des Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe Bibliotheken eingebunden hatte ...
Gruß Ilu
(1) https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.darkreading.c...
(2) https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to...
(3) https://www.theregister.com/2023/01/09/pypi_aws_malware_key/
Am 13.01.23 um 02:06 schrieb Joachim Jakobs:
Hallo Alle,
die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
The attack vector in the NuGet ecosystem involves the use of automated processes to create a large number of packages with names and descriptions designed to lure those interested in hacking, cheats, and free resources. These contain links to phishing campaigns built to steal personal information or other sensitive data.
The scale of this attack is unique, according to the report, because it involves the creation of over 144,000 packages by the same threat actor — a significantly larger number of packages than is typically seen in such attacks, making it an especially large and significant event.
Gruß Joachim
[1] https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks...
FSFE-de mailing list FSFE-de@lists.fsfe.org https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt. Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu behandeln: https://fsfe.org/about/codeofconduct