Link zur News:
https://www.3dcenter.org/news/news-des-15-september-2025

Dir ist klar, dass Nvidia as first A16 dem immer wieder von Dir - und allen anderen - genannten Argument spricht, dass das bei so großen Chips nicht sinnvoll sei?

"Hier müssen wohl noch bessere Schutzmechanismen entwickelt werden, denn auf schnell (und ehrlich) handelnde Personen bei der Infektion eines solchen Entwicklersystems sollte man nicht dauerhaft setzen."

In der Regel werden Versionen gelocked. D.h. man muss manuell ein update auf neuere Versionen anstossen. Installiert ein anderer Entwickler, oder die CI/CD Pipeline das Projekt und damit die Abhaengigkeiten, dann werden auch die gelockten Versionen genommen, nicht die, welche evt neuer sind. Ist das Paket nicht mehr verfuegbar, schlaegt die Installation fehl.

Wenn man jedoch ein neues Paket installiert und nicht auf eine bestimmte Version verweist, wird natuerlich die neuste genommen.

Die Malware konnte sich also nur in der Zeit auf den Systemen verbreiten, die zu genau dem Zeitpunkt eines der Pakete neu installiert hat, bzw. ein Update der Abhaengigkeiten durchgefuehrt worden ist.

Mich wundert absolut nicht, dass sich die Malware a) nicht stark verbreitet hat und b) diese dann auf den vergleichsweise wenigen Systemen auch keinen Angriff durchfuehren konnte. Dazu war sie viel zu speziell.

PCs der Entwickler sind grundsaetzlich als Risiko Systeme einzustufen. Man kann hier natuerlich mit viel Buerokratie eine hoehere Sicherheit schaffen, aber bitte wer soll denn jedes Paket, und vor allem in der Dev Umgebung sind es tausende, bei jeder Versionsaenderung reviewen.

Und wie sollen Schutzmechanismen fuer das Deployment von Packages noch besser werden? Der genutzte Code haette ja durchaus legitim sein koennen. Es liegt also an den Plattformen die Authentifizierung sicher genug, aber auch nicht zu confus zu machen. Das war ja klar Phishing, und am ende der Fehler des Entwicklers. Sicher gibt es moeglichkeiten die Authentifizierung ueber MFA hinaus zu buerokratisieren. Nur was soll das helfen, wenn der User dann trotzdem wieder nen Fehler macht.

Am ende ist es doch genau so ein Reaktionismus, wie bei jedem Irren mit nem Messer gleich gegen Migration zu hetzen, oder bei jedem Amoklauf die Killerspiel-Debatte aus der Schublade zu holen. Oder: Oh 0,01% der Buergergeldempfaenger betruegen das System, das System muss weg! ^^

Schaut euch mal die Menge an Paketen an die existieren, wie viele Maintainer es gibt, wie professionell die einen, wie amateurhaft die anderen sind, wie viele Milliarden Projekte darauf angewiesen sind und wie wenig im vergleich zu dieser Anzahl passiert. Ja das Problem existiert, es ist bekannt, man muss es verstehen, man muss auch entsprechend vorsichtig sein. Aber Reaktionismus und Panikmache bringt da gar nichts. Es war eine Meldung wert, mehr aber auch nicht.

Uebrigens, die Zahlen der Downloads waren halt schon in den Meldungen komplett neben der Realitaet, denn die bezogen sich auf alle Versionen zusammen. Wie viele sowas wie ein `@latest` tag in ihrer package.json drin haben, ist nicht bekannt. Aber eine Uebersicht ueber totalen Downloadzahlen der einzelnen Versionen gibt es fuer`debug` z.b. hier: https://www.npmjs.com/package/debug?activeTab=versions Leider ohne die betroffene entfernte Version. Auch enthalten die Zahlen alle Installs. D.h. wenn man ne CI Pipeline hat, welche das Paket in unterschiedlichen Stages/Jobs installiert, summiert sich der Spass.

Achja und es betrifft letztendlich alle Package Manager aller Programmiersprachen und auch alle Sourcecode Repositories wie Github und Gitlab.

Danke für die vielen Erklärungen @ Gast.


PS: A16: Ja, und die Argumente dagegen bestehen ja weiterhin. Aber eventuell ist es für NV inzwischen sinnvoller, sich mit den Problemen allerneuester Fertigung rumzuschlagen, weil der damit ereichbare Effekt des (uneinholbaren) technologischen Vorsprungs gegenüber den Wettbewerbern einfach benötigt wird. Als Vorteil gegenüber Apple braucht man eben auch nicht Millionen an SoCs zum Launchtag. NV stellt mit großem Getöse vor - und liefert dann Ewigkeiten später.

Das war ja klar Phishing, und am ende der Fehler des Entwicklers. Sicher gibt es moeglichkeiten die Authentifizierung ueber MFA hinaus zu buerokratisieren. Nur was soll das helfen, wenn der User dann trotzdem wieder nen Fehler macht.


So wie man Phishing generell überall abdrehen könnte wenn man wollte, indem man endlich Passwörter abschafft und zu 100% auf Passkeys setzt.

Ein Problem ist allerdings, dass zwar mittlerweile die größeren Dienste alle Passkeys unterstützten, außer Microsoft ist mir allerdings keiner bekannt, der das Passwort löschen lässt, bei allen anderen bleibt das Passwort als inhärente Unsicherheit erhalten, und es liegt am User dieses nicht zu benutzen.

Im Text kommt zwei Mal "Krytowährung" vor. Richtig wäre "Kryptowährung".

Bislang hat nVidia wie bekannt bei seinen HPC/AI-Chips mit jenen TSMC-Nodes gelebt, welche auch bei seinen Consumer/Gaming-Chips zum Einsatz kamen, sprich zuletzt meist nicht das technologisch allerbeste.
Nvidia GA100 -> TSMC "7N" (->N7) -> 2020, GA102 "Ampere" war 8nm Samsung, welches quasi glorifiziertes 10nm+++ ist.

Also: Es gab schon früher deutliche Abweichungen trotz gleicher Architektur bei den Fertigungsprozessen zwischen HPC/AI und Gaming/Workstation.

Also: Es gab schon früher deutliche Abweichungen trotz gleicher Architektur bei den Fertigungsprozessen zwischen HPC/AI und Gaming/Workstation.

So ist es, es war "nur" AMDs Aufholen, dass man bei Nvidia zum Schluss gekommen ist, dass man mit Uralt Fertigungen möglicherweise die Gaming-Krone verlieren könnte.

Im Text kommt zwei Mal "Krytowährung" vor. Richtig wäre "Kryptowährung".

Sorry, gefixt.

Jaja, die ewigen News über steigende Preise, die genau das bewirken, was sie behaupten :D

Das ist fast wie an der Börse, bei dem "Analysten" was "prophezeien" und der Kurs dann allein deswegen in die Richtung geht (übertrieben gesagt).