Sicherheitsbericht 🔴 Kritisch

Supply Chain unter Belagerung: npm, PyPI & GitHub

6 Min. Lesezeit KRITISCHE DRINGLICHKEIT

Zusammenfassung

Großer Supply-Chain-Angriff in populärem npm-Paket mit 14 Millionen wöchentlichen Downloads entdeckt. Kompromittierte PyPI-Pakete zielen mit Credential-Stealing-Malware auf Machine-Learning-Pipelines. Eine Backdoor in einer weit verbreiteten GitHub Action exfiltriert seit 6 Monaten CI/CD-Secrets.

⚡ Fazit: Prüfen Sie sofort Ihre Abhängigkeiten. Rotieren Sie alle CI/CD-Anmeldedaten, die möglicherweise exponiert wurden.

📦
Kritisch

npm "event-stream-utils" Supply-Chain-Kompromittierung

Warum es wichtig ist

Das npm-Paket "event-stream-utils" (14,2M wöchentliche Downloads) wurde über eine Maintainer-Account-Übernahme kompromittiert. Bösartiger Code in Version 4.7.3 stiehlt Umgebungsvariablen, AWS-Anmeldedaten und Kryptowährungs-Wallet-Schlüssel. Das Paket wird von großen Finanz- und Technologieunternehmen verwendet.

So schützen Sie sich — Handlungsempfehlungen

  • Sofort auf event-stream-utils in package-lock.json prüfen
  • Auf Version 4.7.2 oder früher fixieren oder komplett entfernen
  • Alle möglicherweise exponierten Anmeldedaten rotieren
  • npm audit auf weitere kompromittierte Abhängigkeiten scannen
  • Software Bill of Materials (SBOM) Tracking implementieren
🐍
Kritisch

PyPI "pytorch-nightly-utils" Malware-Kampagne

Warum es wichtig ist

Typosquatting-Pakete auf PyPI, die auf ML/KI-Entwickler abzielen, wurden 45.000+ Mal heruntergeladen. Pakete enthalten Malware, die Modell-Trainingsdaten, Jupyter-Notebook-Inhalte und API-Schlüssel exfiltriert.

Bösartige Paketnamen

pytorch-nightly-utils
tensorflow-model-tools
sklearn-utils-extra

So schützen Sie sich — Handlungsempfehlungen

  • Python-Umgebungen auf verdächtige Pakete prüfen
  • pip-audit verwenden, um auf bekannte bösartige Pakete zu scannen
  • Allowlist für genehmigte PyPI-Pakete implementieren
  • Zwei-Faktor-Authentifizierung auf PyPI-Konten aktivieren
  • Virtuelle Umgebungen isoliert von Produktion verwenden
⚙️
Kritisch

GitHub Action "actions/cache-restore" Backdoor

Warum es wichtig ist

Eine Backdoor-Version der populären GitHub Action "actions/cache-restore" (nicht das offizielle actions/cache) hat heimlich Repository-Secrets, Umgebungsvariablen und Quellcode seit August 2025 exfiltriert. Über 3.200 Repositories betroffen.

So schützen Sie sich — Handlungsempfehlungen

  • Alle GitHub Actions auf inoffizielle/Typosquatting-Actions prüfen
  • Actions auf spezifische SHA-Hashes fixieren, nicht auf Tags
  • Actions-Berechtigungen (GITHUB_TOKEN-Scope) prüfen
  • GitHub Advanced Security Secret Scanning aktivieren
  • Alle Secrets in betroffenen Workflows rotieren

Führen Sie jetzt einen KENSAI-Scan durch, um Ihre Supply-Chain-Sicherheit zu überprüfen

🗡️ Systeme scannen →

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home