Automated Cyber Campaign Creates Masses of Bogus Software Building Blocks
Ilu
ilu at fsfe.org
Sa Jan 14 08:17:21 UTC 2023
Hallo Joachim,
solche supply chain attacks gibt es alle paar Monate und das schon seit
Jahren (Solarwinds). NPM und PyPi und alle vergleichbaren
Softwareverteilstellen sind berühmt für ihre strukturelle Unsicherheit.
Mit freier Software hat das nur zufällig was zu tun.
Im übrigen hat die verlinkte Seite auf "darkreading.com" ihrerseits
Spyware-Charakter, mehrere sicherheitsrelevante Fehlkonfigurationen und
*149* Anfragen an Drittanbieter (1) - ein halbwegs sicher vernagelter
Browser zeigt nur eine leere Seite. Dazu habe ich auf der Seite keinen
Link zu einer seriösen externen Quelle gefunden - die verlinken
anscheinend nur auf sich selbst.
Die Originalquelle ("A few months ago, we discovered ..." - 2) und
andere seriöse Medien (zB 3) machen deutlich, dass es sich bei supply
chain attacks um "tägliches Brot" handelt und nicht um sensationelle,
aktuelle Eregnisse.
Unabhängig davon sind natürlich npm und PyPi und andere derartige
Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante
Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein
besseres Konzept hermuss. Es ist derzeit die Verantwortung des
Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen
Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu
trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe
Bibliotheken eingebunden hatte ...
Gruß
Ilu
(1)
https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.darkreading.com%2Fattacks-breaches%2Fautomated-cybercampaign-attacks-bogus-software-building-blocks
(2)
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/
(3) https://www.theregister.com/2023/01/09/pypi_aws_malware_key/
Am 13.01.23 um 02:06 schrieb Joachim Jakobs:
> Hallo Alle,
>
> die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
>
> The attack vector in the NuGet ecosystem involves the use of automated
> processes to create a large number of packages with names and
> descriptions designed to lure those interested in hacking, cheats, and
> free resources. These contain links to phishing campaigns built to steal
> personal information or other sensitive data.
>
> The scale of this attack is unique, according to the report, because it
> involves the creation of over 144,000 packages by the same threat actor
> — a significantly larger number of packages than is typically seen in
> such attacks, making it an especially large and significant event.
>
> Gruß Joachim
>
> [1]
> https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks-bogus-software-building-blocks
>
>
>
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
>
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct
Mehr Informationen über die Mailingliste FSFE-de