SymphonyElectron <\/em>auf Fehler, als er auf eine mysteri\u00f6se Abh\u00e4ngigkeit Namens\u00a0 \"swift-search\" stie\u00df, die von dem Paket verwendet wurde. Aber dieses Paket war nicht in der \u00f6ffentlichen npmjs.com-Registrierung vorhanden.<\/p>\nNachdem er eine \u00f6ffentliche Abh\u00e4ngigkeit mit demselben Namen am pnpjs.com ver\u00f6ffentlicht hatte, erhielt er pl\u00f6tzlich Nachrichten von Microsofts Halo-Spielentwicklungsservern. Als er dies erkannte, registrierte dos Santos ein Paket mit demselben Namen, aber mit seinem eigenen Code,\u00a0 in der npm-Registry.<\/p>\n
Innerhalb weniger Stunden nach der Ver\u00f6ffentlichung des Pakets in der npm-Registry bemerkte der Forscher, dass er Ping-Backs von Microsofts Servern erhielt. Einige der Daten, die vom Microsoft-Server zur\u00fcckgegeben wurden, umfassten Systembenutzernamen, Pfade zu Anwendungsentwicklungsumgebungen, verschiedene IDs usw. Dies best\u00e4tigte den Verdacht des Forschers, dass ein Microsoft-Server erfolgreich von seiner Dependency-Hijacking-Attacke getroffen worden war.<\/p>\n
Der Sicherheitsforscher kontaktierte Microsoft, worauf das Problem beseitigt wurde. Der Vorfall zeigt aber erneut, wie l\u00f6chrig die Sicherheit in vielen Software-Projekten ist. Und der Trend, Open Source-Pakete auch in kommerziellen Produkten \u00fcber offizielle Repositories einzubeziehen, tr\u00e4gt dazu bei. Ich w\u00fcrde mich nicht wundern, wenn wir in n\u00e4herer Zukunft \u00fcber einen Lieferkettenangriff oder eine Hack \u00fcber diese Schiene erfahren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Microsoft wurde jetzt zum zweiten Mal in 2021 von einem Dependency Hijacking-Angriff, den Sicherheitsforscher ausgef\u00fchrt haben, betroffen. Ein Sicherheitsforscher hat entsprechende interne Abh\u00e4ngigkeiten in einem Open Source NPM-Paket gefunden, welches von Microsofts Halo-Spielentwicklungsserver eingesetzt wird. Damit w\u00e4ren wohl Supply-Chain-Angriffe m\u00f6glich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255285","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255285","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255285"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255285\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255285"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255285"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255285"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Microsoft wurde jetzt zum zweiten Mal in 2021 von einem Dependency Hijacking-Angriff, den Sicherheitsforscher ausgef\u00fchrt haben, betroffen. Ein Sicherheitsforscher hat entsprechende interne Abh\u00e4ngigkeiten in einem Open Source NPM-Paket gefunden, welches von Microsofts Halo-Spielentwicklungsserver eingesetzt wird. Damit w\u00e4ren wohl Supply-Chain-Angriffe m\u00f6glich gewesen. Dependency Confusion und das drauf aufbauende Dependency Hijacking scheinen ein wachsendes Problem bei der Software-Entwicklung darzustellen.<\/p>\n![\"Dependency](\"https:\/\/i.imgur.com\/DmSk6kY.png\" "\\"Dependency")
<\/a><\/p>\n