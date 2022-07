Schadcode in Open-Source-Paketen gehört zu den verbreiteten Angriffen auf die Software Supply Chain. Angreiferinnen und Angreifer veröffentlichen auf Paketmanagern vermeintlich nützliche Pakete, die Developer in ihren Anwendungen verwenden. Häufige Methoden sind das Typosquatting und das Brandjacking. Letzteres verwendet Firmennamen wie Twilio, um eine legitime Quelle vorzutäuschen.

Beim Typosquatting tragen die Pakete mit Schadcode Namen, die den Bezeichnungen beliebter Pakete ähneln. Die Methode setzt zum einen auf Tippfehler und verwendet zum anderen Trennzeichen wie Unter- und Bindestriche. Aus my-packet wird my-paket , mypacket oder my_packet . Irgendwer wird sich schon vertippen, so die berechtigte Hoffnung der Angreifenden.

Ein weiterer Angriffsvektor sind zunächst nützliche und harmlose Pakete, die den Schadcode erst dann mitbringen, wenn sie eine gewisse Verbreitung erreicht haben. Das npm-Team hatte 2019 mit electron-native-notify ein solches Package entdeckt. Schließlich versucht Dependency Confusion intern gehostete Dependencies durch gleichnamige externe Pakete mit Schadcode zu ersetzen. Letztere bekommen dazu eine hohe Versionsnummer, da die Paketinstallationswerkzeuge wie pip je nach Einstellung das Paket mit der höchsten Nummer verwenden, das vermeintlich das aktuellste ist.

Gerade gegen die letzten beiden Szenarien helfen SBOMs. Bei der Dependency Confusion lässt sich in der Liste erkennen, dass das verwendete Paket nicht das erwartete interne ist. Gegen im Nachhinein zugefügten Schadcode ist es hilfreich, die Liste regelmäßig nach Einträgen in der CVE-Datenbank (Common Vulnerabilities and Exposures) abzugleichen. SBOMs helfen zudem beim Aufspüren transitiver Dependencies, die nicht auf den ersten Blick erkennbar sind. So hatten viele Teams Log4j beim Erkennen der Schwachstelle nicht direkt in ihre Projekt eingebunden, aber ein externes Paket genutzt, das auf Log4j setzt.