Automated Cyber Campaign Creates Masses of Bogus Software Building Blocks

Ilu ilu at fsfe.org
Sa Jan 14 08:17:21 UTC 2023 

Hallo Joachim,

solche supply chain attacks gibt es alle paar Monate und das schon seit 
Jahren (Solarwinds). NPM und PyPi und alle vergleichbaren 
Softwareverteilstellen sind berühmt für ihre strukturelle Unsicherheit. 
Mit freier Software hat das nur zufällig was zu tun.

Im übrigen hat die verlinkte Seite auf "darkreading.com" ihrerseits 
Spyware-Charakter, mehrere sicherheitsrelevante Fehlkonfigurationen und 
*149* Anfragen an Drittanbieter (1) - ein halbwegs sicher vernagelter 
Browser zeigt nur eine leere Seite. Dazu habe ich auf der Seite keinen 
Link zu einer seriösen externen Quelle gefunden - die verlinken 
anscheinend nur auf sich selbst.

Die Originalquelle  ("A few months ago, we discovered ..." - 2) und 
andere seriöse Medien (zB 3) machen deutlich, dass es sich bei supply 
chain attacks um "tägliches Brot" handelt und nicht um sensationelle, 
aktuelle Eregnisse.

Unabhängig davon sind natürlich npm und PyPi und andere derartige 
Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante 
Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein 
besseres Konzept hermuss. Es ist derzeit die Verantwortung des 
Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen 
Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu 
trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe 
Bibliotheken eingebunden hatte ...

Gruß
Ilu

(1) 
https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.darkreading.com%2Fattacks-breaches%2Fautomated-cybercampaign-attacks-bogus-software-building-blocks

(2) 
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/

(3) https://www.theregister.com/2023/01/09/pypi_aws_malware_key/

Am 13.01.23 um 02:06 schrieb Joachim Jakobs:
> Hallo Alle,
> 
> die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
> 
> The attack vector in the NuGet ecosystem involves the use of automated 
> processes to create a large number of packages with names and 
> descriptions designed to lure those interested in hacking, cheats, and 
> free resources. These contain links to phishing campaigns built to steal 
> personal information or other sensitive data.
> 
> The scale of this attack is unique, according to the report, because it 
> involves the creation of over 144,000 packages by the same threat actor 
> — a significantly larger number of packages than is typically seen in 
> such attacks, making it an especially large and significant event.
> 
> Gruß Joachim
> 
> [1]
> https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks-bogus-software-building-blocks 
> 
> 
> 
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
> 
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct

Mehr Informationen über die Mailingliste FSFE-de