From 95dbec2feed31b4445d2d259a47ed0751a7d5359 Mon Sep 17 00:00:00 2001 From: benjilegeek Date: Thu, 2 Apr 2026 19:12:54 +0200 Subject: [PATCH] add supply chain article and impressum --- content/blog/supply-chain-hoelle/index.md | 25 +++++++++++++++++++++++ content/impressum.md | 19 +++++++++++++++++ 2 files changed, 44 insertions(+) create mode 100644 content/blog/supply-chain-hoelle/index.md create mode 100644 content/impressum.md diff --git a/content/blog/supply-chain-hoelle/index.md b/content/blog/supply-chain-hoelle/index.md new file mode 100644 index 0000000..6d4801c --- /dev/null +++ b/content/blog/supply-chain-hoelle/index.md @@ -0,0 +1,25 @@ ++++ +title = "npm und die Supply Chain Hölle" +date = "2026-03-30" +description = "die bisher schlimmste Kompromittierung des Jahres" + +[taxonomies] +tags = ["security","meinung","news"] ++++ +npm - a gift that keeps on giving. Auch diese Woche hat der Node Paketmanager wieder eine der vermutlich bedeutendsten Angriffe des Jahres zu bereitgestellt. +Konkret hat es axios erwischt, ein Bibliothek für HTTP die wirklich in fast jedem Frontend verbaut ist. +Der Account des Hauptentwicklers der Bibliothek wurde von den Angreifern übernommen. Diese haben dann axios eine andere Bibliothek als Abhängigkeit hinterlegt +und bei dieser Dritt-Bibliothek wurde nach der installation ein post-install Skript ausgeführt. +Post-Install Skripte sind erstmal nichts ungewöhnliches, nur war das Skript in diesem Fall bösartig und sollte je nach Betriebssystem die tatsächliche Malware aus dem +Internet nachladen (Mehr zu technischen Details bei [StepSecurity](https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan#)). + +Nun ist es nicht das erste mal, dass der Paketmanager von NodeJS für eine Supply-Chain Attacke missbraucht wird. Ende letzten Jahres hatte es drei mal massivst gekracht, +wobei der [Shai-Hulud](https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html)(benannt nach dem Sandwurm aus Dune) +der bekannteste Angriff dieser Art sein dürfte. Shai-Hulud war aber anders konzeptioniert als die aktuelle axios Attacke: Shai-Hulud war ein Wurm, der auf jedem System dass er +infizierte, nach Zugangsdaten von Entwicklern suchte um weitere Pakete zu manipulieren. Wurden diese manipulierten Pakete installiert, wurde das System kompromittiert und der Spaß +ging von vorne los. Die axios Schwachstelle verzichtet nach aktuellem Kenntnisstand auf diese Selbstvermehrung, vermutlich weil axios sowieso eines der meistverbreiteten npm Pakete ist. + + +Kuriose Szene in IT-Deutschland: in der Nacht zum Sonntag den 22 April wurden laut [heise](https://heise.de/-11221345) diverse Admins von der Polizei aus dem Bett geklingelt. +Der Grund: in den Unternehmen der betreffenden Administratoren wurden die Product Lifecycle Management Programme Windchill und FlexPLM vom Hersteller PTC eingsetzt. + diff --git a/content/impressum.md b/content/impressum.md new file mode 100644 index 0000000..1ae41e3 --- /dev/null +++ b/content/impressum.md @@ -0,0 +1,19 @@ ++++ +title = "Impressum" ++++ +Falls Sie mich kontaktieren möchten, am liebsten per Mail: +**benjilegeek@proton.me** + +Angaben gemäß § 5 Telemediengesetz (TMG): + +Benjamin Kuntze-Fechner +c/o POSTFLEX PFX-796-714 +Emsdettener Straße 10 +48268 Greven +Deutschland + +E-Mail: benjilegeek@proton.me + +Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV: +Benjamin Kuntze-Fechner +