PyPI: Kompromittierte Pakete umgehen Firewall mit Cloudflare-Tunnel

Im offiziellen Repository für quelloffene Python-Projekte wurden sechs Pakete gefunden, die Informationen stehlen und an Hacker weiterleiten. Zudem wird den Angreifern Remote-Zugang ermöglicht. Um Firewall-Beschränkungen zu umgehen, werden ... mehr... DesignPickle, Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Virus, Kriminalität, Cybersecurity, Hacking, Internetkriminalität, Hacker Angriffe, Ransom Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Virus, Kriminalität, Cybersecurity, Hacking, Internetkriminalität, Hacker Angriffe, Ransom

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Kurze Frage, weil ich mich noch nie mit Mitentwicklung von OpenSource-Software beschäftigt habe.

Kann in die Paketquellen ein Jeder dahergelaufene Möchtegernentwickler seinen Code reinwerfen, oder werden Entwickler vorab irgendwie geprüft? Ich möchte gerne verstehen, wie es möglich ist, dass in offizielle Quellen solcher Schadcode überhaupt reinkommen kann.
 
@Hanni&Nanni: PyPi ist ja keine OpenSource-Projekt in dem Sinne, sondern nur ein Repository, aus dem sich Entwickler bedienen können und jeder registrierte Entwickler kann seinen Pythonpakete dort zur Verfügung stellen. Wenn jetzt jemand Zugriff auf den Account eines beliebten Package-Maintainers bekommt, kann er das Package manipulieren und jedes Projekt, dass diese Abhängigkeit importiert ist dann angreifbar.

Bei "echten" OpenSource-Projekten, je nach Größe, gibt es immer einen Review-Prozess, der sicherstellt, dass Code, der hinzugefügt/geändert wird, von mehreren anderen Devs geprüft wird. Erst wenn das Review von allen abgesegnet wird, kommt der Code ins eigentliche Projekt und wird publiziert.

Bei kleinen Projekten ist jeder, der da etwas verwenden will, angehalten, den Code selbst zu prüfen. Was durchaus sportlich werden kann. =)
 
@Mitsch79: Danke für deine Ausführung. Das macht mir jetzt einiges klarer.
Kommentar abgeben Netiquette beachten!
Einloggen
Video-Empfehlungen
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!