Das Sicherheitsdesaster durch Lieferkettenangriffe geht weiter – ist mir vor zwei Tagen bereits untergekommen. Laut diesem Tweet von JFrog Security wurde das beliebte PyPI-Paket "lightning" im Rahmen eines Supply-Chain-Angriffs kompromittiert. Das ist das nächste Opfer in einer Kette von Lieferkettenangriffen auf npm-Pakete.
Betroffene Versionen sind die 2.6.2 und 2.6.3. The Hacker News hat hier noch einige Informationen zusammen getragen.
Und in diesem Tweet bestätigt jemand, dass es zwei große Angriffe auf die Software-Lieferketten gab, die gleichzeitig sowohl PyPI als auch npm betrafen. Von Socket wurde bösartiger Code in den Lightning-Versionen 2.6.2 und 2.6.3 auf PyPI sowie in der Version 7.0.4 des intercom-client auf npm entdeckt und bestätigt. Beide Angriffe nutzen nahezu identische Werkzeuge. Beide sind derzeit aktiv.
Lightning ist eines der beliebtesten Deep-Learning-Frameworks im Python-Ökosystem mit Millionen von Downloads pro Monat. Intercom-Client ist das offizielle Node.js-SDK von Intercom mit etwa 360.000 Downloads pro Woche.
MVP: 2013 – 2016
