add supply chain article and impressum
This commit is contained in:
25
content/blog/supply-chain-hoelle/index.md
Normal file
25
content/blog/supply-chain-hoelle/index.md
Normal file
@@ -0,0 +1,25 @@
|
||||
+++
|
||||
title = "npm und die Supply Chain Hölle"
|
||||
date = "2026-03-30"
|
||||
description = "die bisher schlimmste Kompromittierung des Jahres"
|
||||
|
||||
[taxonomies]
|
||||
tags = ["security","meinung","news"]
|
||||
+++
|
||||
npm - a gift that keeps on giving. Auch diese Woche hat der Node Paketmanager wieder eine der vermutlich bedeutendsten Angriffe des Jahres zu bereitgestellt.
|
||||
Konkret hat es axios erwischt, ein Bibliothek für HTTP die wirklich in fast jedem Frontend verbaut ist.
|
||||
Der Account des Hauptentwicklers der Bibliothek wurde von den Angreifern übernommen. Diese haben dann axios eine andere Bibliothek als Abhängigkeit hinterlegt
|
||||
und bei dieser Dritt-Bibliothek wurde nach der installation ein post-install Skript ausgeführt.
|
||||
Post-Install Skripte sind erstmal nichts ungewöhnliches, nur war das Skript in diesem Fall bösartig und sollte je nach Betriebssystem die tatsächliche Malware aus dem
|
||||
Internet nachladen (Mehr zu technischen Details bei [StepSecurity](https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan#)).
|
||||
|
||||
Nun ist es nicht das erste mal, dass der Paketmanager von NodeJS für eine Supply-Chain Attacke missbraucht wird. Ende letzten Jahres hatte es drei mal massivst gekracht,
|
||||
wobei der [Shai-Hulud](https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html)(benannt nach dem Sandwurm aus Dune)
|
||||
der bekannteste Angriff dieser Art sein dürfte. Shai-Hulud war aber anders konzeptioniert als die aktuelle axios Attacke: Shai-Hulud war ein Wurm, der auf jedem System dass er
|
||||
infizierte, nach Zugangsdaten von Entwicklern suchte um weitere Pakete zu manipulieren. Wurden diese manipulierten Pakete installiert, wurde das System kompromittiert und der Spaß
|
||||
ging von vorne los. Die axios Schwachstelle verzichtet nach aktuellem Kenntnisstand auf diese Selbstvermehrung, vermutlich weil axios sowieso eines der meistverbreiteten npm Pakete ist.
|
||||
|
||||
|
||||
Kuriose Szene in IT-Deutschland: in der Nacht zum Sonntag den 22 April wurden laut [heise](https://heise.de/-11221345) diverse Admins von der Polizei aus dem Bett geklingelt.
|
||||
Der Grund: in den Unternehmen der betreffenden Administratoren wurden die Product Lifecycle Management Programme Windchill und FlexPLM vom Hersteller PTC eingsetzt.
|
||||
|
||||
19
content/impressum.md
Normal file
19
content/impressum.md
Normal file
@@ -0,0 +1,19 @@
|
||||
+++
|
||||
title = "Impressum"
|
||||
+++
|
||||
Falls Sie mich kontaktieren möchten, am liebsten per Mail:
|
||||
**benjilegeek@proton.me**
|
||||
|
||||
Angaben gemäß § 5 Telemediengesetz (TMG):
|
||||
|
||||
Benjamin Kuntze-Fechner
|
||||
c/o POSTFLEX PFX-796-714
|
||||
Emsdettener Straße 10
|
||||
48268 Greven
|
||||
Deutschland
|
||||
|
||||
E-Mail: benjilegeek@proton.me
|
||||
|
||||
Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:
|
||||
Benjamin Kuntze-Fechner
|
||||
|
||||
Reference in New Issue
Block a user