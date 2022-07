Schadcode in Open-Source-Paketen auf PyPI, npm und Co. gehört zu den verbreitetsten Angriffen auf die Software Supply Chain. Die Zwei-Faktor-Authentifizierung gibt Schutz gegen das Kapern von Accounts. Daneben finden sich zahlreiche weitere Angriffsvektoren, die Schadcode in vermeintlich nützliche Pakete verpacken, die Developer in ihren Anwendungen verwenden sollen.

Häufige Methoden sind das Typosquatting und das Brandjacking. Ersteres nutzt Bezeichnungen, die beliebten Paketen ähneln, und Letzteres setzt auf große Firmennamen. Eine weitere Methode sind zunächst nützliche und harmlose Pakete, die den Schadcode erst dann mitbringen, wenn sie eine gewisse Verbreitung erreicht haben. Schließlich versucht Dependency Confusion intern gehostete Dependencies durch gleichnamige externe Pakete mit Schadcode zu ersetzen.

Auf PyPI tauchten im Juni 2022 zahlreiche Pakete mit Code auf, der versucht, Credentials wie AWS-Schlüssel abzugreifen. Kurz davor waren Pakete wohl versehentlich mit Malware erschienen.

Die Python Software Foundation, die sich sowohl um die Weiterentwicklung der Programmiersprache Python kümmert und den Python Package Index verwaltet, hat ebenfalls im Juni 400.000 US-Dollar von der Open Source Security Foundation (OpenSSF) erhalten, die in Sicherheitsmaßnahmen fließen sollen.