PyPI legt Aufnahme neuer Projekte auf Eis, um Schadcode-Welle zu bremsen

Schon wieder zu viel Schadcode: Keine neuen Projekte für Python-Registry PyPI

Bei der Python Package Index (PyPI) gab es kürzlich Alarm. Am 28. März blockierten sie neuen Zuwachs - keine neuen Nutzer, keine frischen Projekte. Der Grund war erschreckend einfach: zu viel böser Code landete dort.



Ein Déjà-vu der unangenehmen Art


Das erinnert stark an Mai 2023. Auch damals war Pause angesagt, weil Schädlinge die Plattform überschwemmten. Das Team musste fast ein Wochenende lang die Türen schließen. Dieses Mal knackten sie das Problem in zehn Stunden. Ein kleiner Lichtblick in dieser wiederkehrenden Saga von Cyberangriffen.



Alte Tricks, neue Opfer


Attacken auf Paket-Registries sind leider keine Seltenheit. Typosquatting und Brandjacking heißen die fiesen Tricks. Dabei fangen sie Entwickler mit Paketnamen, die nur einen Tippfehler entfernt von den Originalen sind. Manchmal schlüpfen böse Pakete durch, weil sie fälschlicherweise für die aktuellste Version gehalten werden. Aber es gibt noch eine dritte Masche: Trojanische Pferde. Zuerst nützlich und harmlos, verwandeln sie sich plötzlich in Werkzeuge der Zerstörung.



Ein Schritt nach vorn im Kampf für mehr Sicherheit


Die Betreiber von PyPI haben nicht tatenlos zugesehen. Seit Juli 2022 gilt eine klare Regel: Projekte, die unter die Top 1% der Downloads fallen, müssen die Zwei-Faktor-Authentifizierung nutzen. Und es gibt auch gute Nachrichten auf der finanziellen Seite. Die Python Software Foundation bekam Unterstützung in Höhe von 400.000 US-Dollar von der Open Source Security Foundation. Die Mittel sind zweckgebunden für die Stärkung der Sicherheit rund um Python und PyPI.



Fazit: Vorsicht ist besser als Nachsicht


Das jüngste Ereignis bei PyPI zeigt einmal mehr, wie wichtig strenge Sicherheitsvorkehrungen sind. Cyberattacken schlafen nicht, und die Verteidigungslinien müssen immer wachsamer werden. Das Team hinter PyPI arbeitet hart daran, ihre Plattform zu einem sicheren Ort für Entwickler zu machen. Aber auch Nutzer selbst tragen Verantwortung: Vorsicht bei der Auswahl und Installation von Paketen ist unerlässlich.






Kommentare


Anzeige