Hallo Joachim,
solche supply chain attacks gibt es alle paar Monate und das schon seit
Jahren (Solarwinds). NPM und PyPi und alle vergleichbaren
Softwareverteilstellen sind berühmt für ihre strukturelle Unsicherheit.
Mit freier Software hat das nur zufällig was zu tun.
Im übrigen hat die verlinkte Seite auf "darkreading.com" ihrerseits
Spyware-Charakter, mehrere sicherheitsrelevante Fehlkonfigurationen und
*149* Anfragen an Drittanbieter (1) - ein halbwegs sicher vernagelter
Browser zeigt nur eine leere Seite. Dazu habe ich auf der Seite keinen
Link zu einer seriösen externen Quelle gefunden - die verlinken
anscheinend nur auf sich selbst.
Die Originalquelle ("A few months ago, we discovered ..." - 2) und
andere seriöse Medien (zB 3) machen deutlich, dass es sich bei supply
chain attacks um "tägliches Brot" handelt und nicht um sensationelle,
aktuelle Eregnisse.
Unabhängig davon sind natürlich npm und PyPi und andere derartige
Softwareschleudern (fast ohne Sicherheitsmassnahmen) eine eklatante
Schwachstelle *auch* des Open Source Ökosystems, wo dringend ein
besseres Konzept hermuss. Es ist derzeit die Verantwortung des
Programmierers, jede einzelne eingebundenen Fremdbibliothek aus diesen
Quellen sorgfältig *und laufend* zu prüfen. Ich denke da an die zu
trauriger Berühmtheit gelangte "Luca" App, die angeblich ca. 500 externe
Bibliotheken eingebunden hatte ...
Gruß
Ilu
(1)
https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fwww.darkreading.com%2Fattacks-breaches%2Fautomated-cybercampaign-attacks-bogus-software-building-blocks
(2)
https://checkmarx.com/blog/how-140k-nuget-npm-and-pypi-packages-were-used-to-spread-phishing-links/
(3) https://www.theregister.com/2023/01/09/pypi_aws_malware_key/
Am 13.01.23 um 02:06 schrieb Joachim Jakobs:
Hallo Alle,
die Freie-Software Lieferkette scheint unter Beschuß zu geraten [1]:
The attack vector in the NuGet ecosystem involves the use of automated
processes to create a large number of packages with names and
descriptions designed to lure those interested in hacking, cheats, and
free resources. These contain links to phishing campaigns built to steal
personal information or other sensitive data.
The scale of this attack is unique, according to the report, because it
involves the creation of over 144,000 packages by the same threat actor
— a significantly larger number of packages than is typically seen in
such attacks, making it an especially large and significant event.
Gruß Joachim
[1]
https://www.darkreading.com/attacks-breaches/automated-cybercampaign-attacks-bogus-software-building-blocks
_______________________________________________
FSFE-de mailing list
[email protected]
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
_______________________________________________
FSFE-de mailing list
[email protected]
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
