{"id":15463,"date":"2026-01-30T08:35:39","date_gmt":"2026-01-30T08:35:39","guid":{"rendered":"https:\/\/byte-bucket.com\/2026\/01\/30\/open-source-unter-beschuss-explosion-boesartiger-pakete-gefaehrdet-software-sicherheit\/"},"modified":"2026-01-30T08:35:39","modified_gmt":"2026-01-30T08:35:39","slug":"open-source-unter-beschuss-explosion-boesartiger-pakete-gefaehrdet-software-sicherheit","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=15463","title":{"rendered":"Open-Source unter Beschuss: Explosion b\u00f6sartiger Pakete gef\u00e4hrdet Software-Sicherheit"},"content":{"rendered":"<p>Die Open-Source-Softwarelandschaft steht zunehmend unter Druck durch Angriffe auf die Lieferkette, wobei b\u00f6sartige Pakete eine immense Gefahr darstellen. Laut dem ReversingLabs Software Supply Chain Security Report haben sich die Malware-Pakete in diesem Bereich im Jahr 2025 gegen\u00fcber dem Vorjahr um sagenhafte 73 Prozent erh\u00f6ht. Open Source hat sich somit zum Hauptschauplatz f\u00fcr diese Angriffe entwickelt. Der Fokus der Bedrohungsakteure liegt dabei auf weit verbreiteten Abh\u00e4ngigkeiten, die als Trojanisches Pferd fungieren, um Tausende von Anwendungen in deren Nachfolge zu kompromittieren. Als dominierendes Ziel erweist sich der Node Package Manager (npm), der f\u00fcr 90 Prozent aller Aktivit\u00e4ten verantwortlich ist. Die Shai-hulud-Kampagne demonstriert dies eindrucksvoll, indem sie \u00fcber 1.000 npm-Pakete in zwei Wellen infiltrierte und sch\u00e4tzungsweise 25.000 GitHub-Repositories gef\u00e4hrdete. <\/p>\n<p>Ein Lichtblick zeigt sich im Bereich Python: Die Malware-Erkennungen auf PyPI gingen im Vergleich zu 2024 um 43 Prozent zur\u00fcck, von 1.575 F\u00e4llen auf 891 im Jahr 2025. Dennoch bleibt die Gefahr real und erweitert sich \u00fcber reine Malware hinaus. Exponierte Entwicklergeheimnisse stiegen insgesamt um 11 Prozent \u00fcber npm, PyPI, NuGet und RubyGems, wobei npm und PyPI die Hauptverantwortlichen sind. Die Datenquellen reichen von prominenten Plattformen wie Discord, GitHub und Slack, die ihre Vorf\u00e4lle zwar reduziert haben, bis hin zu kleineren Anwendungssystemen, die zwei Drittel der Leaks verursachen. Auch Unternehmen wie Slack, Telegram sowie Cloud-Dienste wie AWS und Azure spielen eine Rolle in diesem komplexen Geflecht. <\/p>\n<p>Tomislav Pericin, Chief Software Architect bei ReversingLabs, betont die strategische Ver\u00e4nderung der Angreifer: Anstatt wenig genutzte Open-Source-Projekte zu infiltrieren, zielen sie nun auf weitverbreitete Projekte ab, um maximale Reichweite und Schaden zu erzielen. Er ruft Organisationen auf, vom passiven Vertrauen zu strengeren Pr\u00fcfungen, vertraglicher Durchsetzung und Sicherheitsbest\u00e4tigungen \u00fcberzugehen. Besonders besorgniserregend ist die zuk\u00fcnftige Dynamik durch KI-gesteuerte Entwicklungen, die die Risiken weiter verst\u00e4rken werden, es sei denn, die Governance in der Open-Source-Welt wird signifikant verbessert. Die Herausforderung liegt also darin, ein robustes Sicherheitsnetzwerk f\u00fcr die Open-Source-Community aufzubauen, um diesen wachsenden Bedrohungen effektiv entgegenzuwirken.<\/p>\n<p>Schlagw\u00f6rter: npm + PyPI + Chain<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Open-Source-Softwarelandschaft steht zunehmend unter Druck durch Angriffe auf die Lieferkette, wobei b\u00f6sartige Pakete eine immense Gefahr darstellen. Laut dem ReversingLabs Software Supply Chain Security Report haben sich die Malware-Pakete in diesem Bereich im Jahr 2025 gegen\u00fcber dem Vorjahr um sagenhafte 73 Prozent erh\u00f6ht. Open Source hat sich somit zum&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":15462,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15463","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15463","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15463"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/15463\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/15462"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15463"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15463"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15463"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}