Lieferkettenangriff auf Ultralytics: Analyse eines PyPI-Sicherheitsvorfalls
Das Python-Projekt Ultralytics wurde kürzlich Opfer eines Lieferkettenangriffs. Angreifer kompromittierten die GitHub Actions-Workflows des Projekts und stahlen einen PyPI-API-Token, was zu kontaminierten Versionen 8.3.41, 8.3.42, 8.3.45 und 8.3.46 führte. Der Angriff nutzte keine Sicherheitslücke in PyPI aus, sondern zielte auf den GitHub Actions-Cache ab. PyPI identifizierte und entfernte die Schadsoftware mithilfe von Trusted Publishing und Sigstore-Transparenzprotokollen schnell. Der Vorfall hob Mängel in den Konfigurationen von API-Token und GitHub-Umgebungen hervor. Der Artikel betont die Bedeutung der Sicherung von Software-Forges und Build-/Release-Workflows und bietet Entwicklern Sicherheitsempfehlungen: Verwendung von Trusted Publishers, Sperren von Abhängigkeiten, Vermeidung unsicherer Muster und Aktivieren der mehrstufigen Authentifizierung.