Zum Inhalt springen

Entwickler-Workstations sind jetzt Teil der Software-Lieferkette

Auf den Punkt: Entwickler-Workstations sind ein kritischer Angriffsvektor. Angreifer konzentrieren sich auf Credential-Harvesting aus Entwicklerumgebungen. Sicherheitsteams müssen ihre Schutzstrategien auf diese neue Realität der Software-Lieferkette ausrichten.

Angreifer auf die Software-Lieferkette konzentrieren sich zunehmend darauf, Zugangsdaten aus Entwicklerumgebungen zu stehlen. In einem 48-Stunden-Fenster zielten drei separate Kampagnen auf npm, PyPI und Docker Hub ab und forderten API-Schlüssel, Cloud-Anmeldedaten, SSH-Schlüssel und Tokens. Diese Entwicklung zwingt Sicherheitsteams, ihre Schutzstrategie grundlegend zu überdenken.

Sicherheitsteams müssen ihre Sicht auf die Software-Lieferkette neu bewerten. Traditionell konzentrierte sich der Fokus auf gemeinsam genutzte Systeme wie Quellcode-Repositories, CI/CD-Plattformen, Artifact-Register, Paketmanager und Cloud-Umgebungen. Diese Bereiche bleiben zwar wichtig, doch das Bild ist unvollständig.

Die moderne Softwareentwicklung beginnt bereits vor dem Eintreffen des Codes in Git – auf der Entwickler-Workstation. Hier schreiben Entwickler Code, installieren Abhängigkeiten, testen Zugangsdaten, nutzen KI-Assistenten, erstellen Container und initiieren vertrauenswürdige Aktionen. Entwickler-Workstations sind somit ein realer Bestandteil der Lieferkette.

Die jüngsten Angriffskampagnen wie TeamPCP und Shai-Hulud zeigen ein eindeutiges Muster: Unabhängig von der Methode – vergiftete Pakete, kompromittierte Images, manipulierte Workflows oder anfällige Entwicklertools – das eigentliche Ziel ist immer der Zugriff. In der TeamPCP-Kampagne nutzten Angreifer kompromittierte Pakete und Entwickler-Tools, um Tokens, Cloud-Anmeldedaten, SSH-Schlüssel und Umgebungsvariablen zu sammeln. Shai-Hulud trieb diesen Ansatz weiter und verwandelte infizierte Entwicklerumgebungen in Sammelstellen für Tausende von Geheimnissen.

Der entscheidende Punkt: Entwickler-Workstations konzentrieren wertvollen Kontext. Sie enthalten lokal Repositories, .env-Dateien, Shell-Verlauf und Paketmanager-Konfigurationen. Wenn Angreifer Zugriff auf diese Zugangsdaten und Kontexte erhalten, können sie vertraute Softwaresysteme verändern, veröffentlichen, bauen und einsetzen – oder diese imitieren. Moderne Lieferketten-Angriffe halten oft Stunden an, während Automatisierungstools malware Updates in Minuten einführen.

Share on: