Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

PyPI-Token-Exfiltration über kompromittierte GitHub Actions Workflows

2025-09-20
PyPI-Token-Exfiltration über kompromittierte GitHub Actions Workflows

Eine kürzlich durchgeführte Angriffskampagne zielte auf GitHub Actions Workflows ab, um PyPI-Veröffentlichungstoken zu stehlen. Angreifer modifizierten Workflows in verschiedenen Repositorys und schickten PyPI-Token, die als GitHub-Secrets gespeichert waren, an externe Server. Obwohl einige Token exfiltriert wurden, wurden sie nicht auf PyPI verwendet. Alle betroffenen Token wurden ungültig gemacht, und die betroffenen Maintainer wurden benachrichtigt. Es wird empfohlen, die Trusted Publishers von GitHub Actions zu verwenden, um zukünftige Angriffe zu mindern.

Mehr lesen
(blog.pypi.org)
Entwicklung

PyPI verbessert die Kontensicherheit durch Prüfung abgelaufener Domains

2025-08-19
PyPI verbessert die Kontensicherheit durch Prüfung abgelaufener Domains

Um Domain-Resurrection-Angriffe zu verhindern – eine Art Supply-Chain-Angriff, bei dem ein Angreifer eine abgelaufene Domain kauft, um PyPI-Konten zu übernehmen – prüft PyPI jetzt auf abgelaufene Domains. Dies verbessert die Kontensicherheit, indem E-Mail-Adressen, die mit abgelaufenen Domains verknüpft sind, ungültig gemacht werden; über 1800 E-Mail-Adressen wurden seit Anfang Juni 2025 ungültig gemacht. Obwohl dies keine perfekte Lösung ist, mindert es einen wichtigen Angriffsvektor erheblich. Benutzern wird empfohlen, eine zweite verifizierte E-Mail-Adresse hinzuzufügen, um die Sicherheit zu erhöhen.

Mehr lesen
(blog.pypi.org)
Entwicklung Domain-Resurrection

PyPI führt Organisationskonten für mehr Nachhaltigkeit ein

2025-05-13
PyPI führt Organisationskonten für mehr Nachhaltigkeit ein

Der Python Package Index (PyPI) hat Organisationskonten eingeführt, um die Nachhaltigkeit der Plattform und die Benutzererfahrung zu verbessern. Diese Funktion ermöglicht es Teams, selbstverwaltete Konten mit exklusiven Webadressen zu erstellen, was die Verwaltung für große Projekte und Unternehmen, die mehrere Unterteams und Pakete verwalten, vereinfacht. Community-Projekte können dies kostenlos nutzen, während Unternehmensprojekte eine geringe Gebühr zahlen müssen. Alle Einnahmen werden in die Verbesserung des Supports und der Infrastruktur von PyPI reinvestiert. Dies adressiert das Wachstum von PyPI in Bezug auf Downloads und Bandbreite und ermöglicht schnellere Reaktionszeiten. Die Funktion ist völlig optional und wirkt sich nicht auf bestehende Benutzer aus.

Mehr lesen
(blog.pypi.org)
Entwicklung Organisationskonten

PyPIs Projektquarantäne: Eine neue Waffe gegen Malware

2025-01-05
PyPIs Projektquarantäne: Eine neue Waffe gegen Malware

Der Python Package Index (PyPI) hat eine "Projektquarantäne"-Funktion eingeführt, um das anhaltende Problem mit Malware zu bekämpfen. Diese Funktion ermöglicht es PyPI-Administratoren, potenziell schädliche Projekte zu kennzeichnen und so deren einfache Installation durch Benutzer zu verhindern und Schäden zu minimieren. Anstatt Projekte vollständig zu löschen, werden sie aus dem einfachen Index ausgeblendet, bleiben aber für die Besitzer modifizierbar (jedoch nicht veröffentlichbar), wobei Administratoren die Quarantäne jederzeit aufheben können. Zukünftige Pläne umfassen die Automatisierung der Quarantäne basierend auf mehreren glaubwürdigen Berichten, um die Effizienz zu steigern und das Zeitfenster für die Verbreitung von Malware zu verkürzen.

Mehr lesen
(blog.pypi.org)
Entwicklung

Lieferkettenangriff auf Ultralytics: Analyse eines PyPI-Sicherheitsvorfalls

2024-12-14
Lieferkettenangriff auf Ultralytics: Analyse eines PyPI-Sicherheitsvorfalls

Das Python-Projekt Ultralytics wurde kürzlich Opfer eines Lieferkettenangriffs. Angreifer kompromittierten die GitHub Actions-Workflows des Projekts und stahlen einen PyPI-API-Token, was zu kontaminierten Versionen 8.3.41, 8.3.42, 8.3.45 und 8.3.46 führte. Der Angriff nutzte keine Sicherheitslücke in PyPI aus, sondern zielte auf den GitHub Actions-Cache ab. PyPI identifizierte und entfernte die Schadsoftware mithilfe von Trusted Publishing und Sigstore-Transparenzprotokollen schnell. Der Vorfall hob Mängel in den Konfigurationen von API-Token und GitHub-Umgebungen hervor. Der Artikel betont die Bedeutung der Sicherung von Software-Forges und Build-/Release-Workflows und bietet Entwicklern Sicherheitsempfehlungen: Verwendung von Trusted Publishers, Sperren von Abhängigkeiten, Vermeidung unsicherer Muster und Aktivieren der mehrstufigen Authentifizierung.

Mehr lesen
(blog.pypi.org)
Entwicklung Lieferkettenangriff PyPI-Sicherheit Software-Sicherheit