[…] In Spitzenzeiten entstanden dadurch 100.000 verseuchte Repositories auf der beliebten Code-Plattform GitHub – die Zahl wuchs so schnell, dass GitHub mit dem Löschen nicht hinterherkam.

Der Trick, den sich die Hintermänner dieser Masche zunutze machen, ist simpel: Sie klonen das Repository eines beliebten Projekts, versetzen es mit Schadcode und bestücken damit Tausende von Repository-Klonen. Indem Sie diese dann in den Python Package Index (PyPI) einschleusen und in diversen Foren und Social-Media-Kanälen bewerben, stolpern unbedarfte Entwickler auf der Suche nach passenden Bibliotheken darüber und binden sie in ihre Projekte ein.

  • Anekdoteles@feddit.de
    link
    fedilink
    arrow-up
    2
    ·
    8 months ago

    Mir auch schon mal passiert, dass ich ein Browser-Addon installiert habe, das open-source mit Github-Repo war. Ist dann vom Browser später entfernt worden, weil es wohl Schadcode enthielt.