Dieses Projekt beschäftigt sich mit der Analyse und Überwachung von Supply Chain Angriffen, wie sie z.B. durch den XZ Utils Hack ausgenutzt worden sind.
Supply Chain Angriffe sind eine wachsende Bedrohung in der Open-Source-Welt. Angreifer kompromittieren beliebte Bibliotheken und Tools, um über die Abhängigkeiten Millionen von Systemen zu infizieren. Das XZ Utils Beispiel zeigt, wie selbst grundlegende Systemkomponenten zu Angriffsvektoren werden können.
- Identifizierung potenzieller Supply Chain Risiken
- Überwachung von verdächtigen Aktivitäten bei wichtigen Open-Source Projekten
- Analyse von GitHub-Accounts auf Anzeichen von Kompromittierung
- Bereitstellung von Werkzeugen zur automatisierten Gefahrenanalyse
Wir empfehlen eine tiefgreifende Analyse auf potenzielle Supply Chain Attacken bei folgenden GitHub Benutzern:
- Bekannt für: PackageKit, RPM Package Manager
- Risiko: Systemkritische Paketverwaltung
- Analysefokus: Unbefugte Commits, verdächtige Abhängigkeiten
- Bekannt für: normalize.css, zahlreiche Frontend-Tools
- Risiko: Weit verbreitete Web-Entwicklungsbibliotheken
- Analysefokus: Code-Injection, Malware in CSS/JS
- Bekannt für: Verschiedene Open-Source Projekte
- Risiko: Diverses Portfolio mit potenziellen Einfallstoren
- Analysefokus: Konsistenz der Commit-Muster, verdächtige Dependencies
- Überprüfung ungewöhnlicher Commit-Zeiten
- Analyse von Code-Änderungen auf verdächtige Muster
- Validierung der Autorenschaft
- Überprüfung neu hinzugefügter Abhängigkeiten
- Analyse von Versionssprüngen
- Validierung der Integrität von Paketen
- Überwachung von Login-Mustern
- Analyse der 2FA-Konfiguration
- Überprüfung auf verdächtige Aktivitäten
- Git-Analyse-Tools
- Dependency-Scanner (Snyk, Dependabot)
- Code-Qualitäts-Analyse (SonarQube)
- Automatisierte CI/CD-Überwachung
# Beispiel für automatisierte Überwachung
git clone https://github.com/user/repo.git
cd repo
git log --since="1 month ago" --author="username"
npm audit- Plötzliche, große Code-Änderungen ohne Dokumentation
- Neue, unbekannte Dependencies
- Commits aus ungewöhnlichen geografischen Standorten
- Unregelmäßige Commit-Muster
- Veraltete Dependencies ohne Updates
- Fehlende Sicherheits-Patches
- Typo-Fixes ohne Kontext
- Dokumentations-Änderungen
- Refactoring ohne Funktionsänderungen
- Aktivierung von 2FA auf allen Plattformen
- Regelmäßige Überprüfung von Dependencies
- Implementierung von Code-Review-Prozessen
- Einsatz von Dependency-Management-Tools
- Regelmäßige Sicherheits-Audits
- Implementierung von Supply Chain Security Policies
Dieses Projekt lebt von der Community. Beiträge sind willkommen in Form von:
- Analyse-Ergebnissen
- Verbesserung der Detection-Algorithmen
- Dokumentation neuer Angriffsmethoden
MIT License - siehe LICENSE Datei für Details.
Dieses Projekt dient der Forschung und Aufklärung. Die Autoren übernehmen keine Verantwortung für die Korrektheit der Analysen oder resultierende Schäden.