Ich werde müde...

DeutschالعربيةEnglishEspañolFrançaisहिन्दीBahasa Indonesia한국어PortuguêsРусский中文
MMaximilian Schwarzmüller
Computing/SoftwareManagementInternet Technology

Transcript

00:00:00Es ist Mittwochmorgen und ich habe bewusst keine Episode über den riesigen Supply-Chain-Angriff gemacht, einen neuen riesigen Supply-Chain-Angriff, der gestern passierte und bei dem mehr als 600 NPM-Pakete betroffen waren, ein weiterer „Shy-Hulu“-Angriff, weil ich nicht jede Woche darüber reden möchte.
00:00:23Aber vor ein paar Stunden wachte ich auf und las, dass GitHub die Sicherheitsverletzung von etwa 4000 internen Repositories untersucht, die durch die Kompromittierung eines Mitarbeitergeräts über eine vergiftete VS-Code-Erweiterung verursacht wurde.
00:00:43Und ich bin wirklich einfach nur müde. Keine Woche vergeht ohne solche ernsthaften Sicherheitsvorfälle. Letzte Woche hatten wir die Supply-Chain-Angriffswelle im Zusammenhang mit Tanstack, diese Woche hatten wir eine weitere und jetzt diesen GitHub-Angriff, und bisher, nach dem, was GitHub veröffentlicht hat, betraf es nur
00:01:07in Anführungszeichen ihr Repository, die Exfiltration von etwa 4000 internen Repositories, keine Kunden-Repositories, auch keine privaten Kunden-Repositories, nur interne GitHub-Repositories, aber trotzdem vergeht kaum eine Woche ohne einen neuen Vorfall dieser Art.
00:01:27Und ich meine, dann haben wir auch all diese Sicherheitslücken, die gefunden werden, wie schon wieder bei GitHub, die, die vor ein paar Wochen gefunden wurde und Remote Code Execution ermöglichte.
00:01:38Sie wurde gefunden und gepatcht, bevor sie missbraucht werden konnte, aber Cybersicherheit wird offensichtlich zu einem riesigen Problem. Ich weiß, ich habe schon früher darüber gesprochen und über die Rolle von KI und all das, was natürlich riesig ist, weil KI dabei hilft, Sicherheitslücken zu finden,
00:02:00sie hilft beim Schreiben von bösartigem Code, sie hilft bei der Durchführung von Supply-Chain-Angriffen und sie macht diese Angriffe für die Angreifer so viel interessanter, weil es so viele neue Leute gibt, die Code veröffentlichen, es wird mehr Code geschrieben als je zuvor, es gibt Agents, die Code schreiben und Pakete installieren – es ist gerade der Wilde Westen da draußen.
00:02:24Es ist wirklich eine nervige Zeitlinie, das muss ich sagen. Ich bin völlig damit einverstanden, dass man sich daran gewöhnen muss, dass KI da ist, und dass man lernen muss, mit diesen Tools zu arbeiten.
00:02:40Und genau das mache ich schon seit vielen Monaten, und deshalb habe ich Kurse zu Claude Code oder Codex erstellt, aber kürzlich hat mein Kollege Manuel auch einen zu Claude Code-Arbeit erstellt, weil wir teilen möchten, was wir über diese Tools gelernt haben, wie wir sie einsetzen, wie man sie vielleicht nutzen kann, um effektiver zu sein, und wie man den Übergang vom traditionellen Coden zum KI-unterstützten Entwickler schafft.
00:03:03Aber gleichzeitig, seien wir mal ganz ehrlich: Ich hätte gerne eine einfachere Zeitlinie mit weniger Sicherheitsvorfällen, mit weniger CEOs, die mir ständig erzählen, dass alle Büroarbeit in einem Monat oder so vorbei sein wird, aber hier sind wir.
00:03:21Hier sind wir mit einem weiteren Sicherheitsvorfall heute, und es ist erst Mittwochmorgen, wie ich schon sagte. Wir werden sehen, was für den Rest der Woche noch so auf uns zukommt.
00:03:30Und das Einzige, was wir im Moment tun können, außer natürlich die Branche zu verlassen, was sicherlich einige Entwickler getan haben oder in Erwägung ziehen, ist – wenn man sich entscheidet, in der Branche zu bleiben – natürlich, sich anzupassen und diese KI-Tools zu lernen, sicher, aber wenn es um Sicherheit geht, das wirklich ernst zu nehmen.
00:03:50Und ich weiß, ich habe das schon in früheren Episoden erwähnt, aber deshalb habe ich zum Beispiel ein ganzes kostenloses Video auf meinem anderen YouTube-Kanal erstellt, den ich unten noch einmal verlinke, wo ich Sie durch einige grundlegende Schritte führe, die Sie unternehmen können, um eine sicherere Entwicklungsumgebung zu haben.
00:04:08Dazu gehört so etwas wie die Verwendung eines Paketmanagers wie pnpm oder auch bun als Paketmanager, der standardmäßig sicherer ist. Zum Beispiel hat die neueste Version von pnpm ein Mindestveröffentlichungsalter von einem Tag, was bedeutet, dass, wenn Sie Pakete darüber installieren, keine Pakete abgerufen werden, die jünger als einen Tag sind.
00:04:29Dadurch wird die Gefahr verringert, von Supply-Chain-Angriffen betroffen zu sein, da die meisten davon – aber natürlich nicht unbedingt alle, man hat keine Garantie – ziemlich schnell erkannt werden. Das ist also eine gute Sache und offensichtlich kann man all diese Einstellungen optimieren.
00:04:44Und dann blockieren Manager wie dieser, aber auch bun zum Beispiel die Ausführung von Skripten, die an Paketen hängen könnten, die Sie gerade installieren.
00:04:55Und dann gibt es natürlich noch andere Schritte, wie das Ausführen in einem Dev-Container oder auf einer virtuellen Maschine, dort zu entwickeln und keine Geheimnisse im Klartext auf dem eigenen Rechner zu speichern.
00:05:05Aber natürlich muss man sich bei GitHub auch fragen, wie die Kompromittierung des Geräts eines einzigen Mitarbeiters, wie es scheint, zu einer massiven Datenexfiltration wie dieser führen kann. Große Unternehmen – oder jedes Unternehmen mit mehr als nur ein paar Mitarbeitern – werden also überdenken müssen, wie groß ihre Angriffsfläche ist und wie viel Schaden ein einzelner Mitarbeiter anrichten kann.
00:05:31Und das alles passiert zu einer Zeit, in der man theoretisch KI-Agents massiven Zugriff auf alle Arten von Daten gewähren möchte, um sie effizient zu machen, damit Agents riesige Datenmengen durchsuchen und mit allen möglichen Systemen interagieren können. Man hat also gerade diese kollidierenden Realitäten.
00:05:53Und die Wahrheit ist: Man ist in höchster Gefahr, wenn man nicht restriktiv ist in Bezug auf Berechtigungen, Zugriffsrechte, Datensicherheit und all das spaßige Zeug, um das sich viele Jahre lang niemand gekümmert hat, aber jetzt wird es ernst. KI macht diese Angriffe einfacher und lohnender.
00:06:12Spaßige Zeiten, spaßige Zeiten, ein Entwickler zu sein, aber hey, es kann wahrscheinlich nur besser werden, wir werden sehen.

Key Takeaway

Angesichts der Zunahme von KI-gestützten Sicherheitsangriffen wie Supply-Chain-Manipulationen müssen Entwickler ihre Sicherheitsumgebung durch restriktive Berechtigungen und den Einsatz sicherer Tools wie pnpm aktiv schützen.

Highlights

  • Ein kompromittiertes Mitarbeitergerät bei GitHub führte zur Exfiltration von etwa 4000 internen Repositories durch eine vergiftete VS-Code-Erweiterung.

  • Über 600 NPM-Pakete waren von einem massiven Supply-Chain-Angriff betroffen.

  • Der Einsatz von Paketmanagern wie pnpm reduziert Sicherheitsrisiken, da Pakete mit einem Veröffentlichungsalter von weniger als einem Tag standardmäßig blockiert werden können.

  • Moderne Paketmanager wie pnpm oder bun verhindern automatisch die Ausführung von bösartigen Skripten während der Paketinstallation.

  • Die KI-gestützte Codeerstellung und der Einsatz von KI-Agents vergrößern die Angriffsfläche für Supply-Chain-Attacken signifikant.

  • Unternehmen müssen den Zugriff einzelner Mitarbeiter auf interne Systeme aufgrund der Gefahr massiver Datenabflüsse restriktiv begrenzen.

Timeline

Häufung von Sicherheitsvorfällen in der Softwareentwicklung

  • Wöchentlich treten neue schwerwiegende Sicherheitsvorfälle in der Software-Supply-Chain auf.
  • GitHub verzeichnete einen Abfluss von etwa 4000 internen Repositories nach einer Mitarbeiter-Gerätekompromittierung.
  • Angreifer nutzen infizierte VS-Code-Erweiterungen als Einfallstor.

Die Softwarebranche erlebt eine kontinuierliche Welle von Sicherheitsvorfällen, darunter der jüngste Vorfall bei GitHub und der Supply-Chain-Angriff auf über 600 NPM-Pakete. Obwohl die GitHub-Datenexfiltration primär interne Repositories betraf, unterstreicht die Frequenz dieser Ereignisse die prekäre Sicherheitslage.

Die Rolle von KI bei modernen Cyberangriffen

  • KI-Tools unterstützen Angreifer aktiv beim Auffinden von Sicherheitslücken und beim Schreiben bösartigen Codes.
  • Das automatisierte Schreiben von Code durch KI-Agents erhöht die Gefahr von Supply-Chain-Angriffen.
  • Die aktuelle Entwicklungslandschaft gleicht aufgrund der hohen Frequenz an Angriffen einem 'Wilden Westen'.

KI-Technologien verändern die Bedrohungslandschaft grundlegend, indem sie die Effektivität und Attraktivität von Angriffen für Kriminelle steigern. Während Entwickler KI zur Produktivitätssteigerung nutzen, erschwert die gleichzeitig erhöhte Code-Produktionsrate durch Agents und automatisierte Tools die Absicherung der Infrastruktur.

Schutzmaßnahmen und Anpassung der Entwicklungsumgebung

  • Die Verwendung sicherer Paketmanager wie pnpm oder bun reduziert Risiken durch blockierte Skripte und Mindest-Veröffentlichungsalter.
  • Entwicklungsprozesse sollten in abgeschotteten Dev-Containern oder virtuellen Maschinen erfolgen.
  • Unternehmen müssen die Zugriffsrechte einzelner Mitarbeiter drastisch einschränken, um den Schaden bei Kompromittierungen zu minimieren.
  • Sensible Daten dürfen nicht im Klartext auf lokalen Entwicklerrechnern gespeichert werden.

Für den Verbleib in der Branche ist eine konsequente Sicherheitsstrategie unerlässlich. Konkrete Maßnahmen umfassen den Einsatz von Tools, die bösartige Skripte blockieren, das Entwickeln in isolierten Umgebungen sowie eine restriktive Vergabe von Berechtigungen, um die Auswirkungen potenzieller Einbrüche zu begrenzen.

Community Posts

No posts yet. Be the first to write about this video!

Write about this video