.avif)
Charlie Eriksen
Blogbeiträge von Charlie Eriksen
Unsichtbare Unicode-Malware schlägt erneut bei OpenVSX zu
Eine weitere Welle von Open VSX-Erweiterungen wurde heute kompromittiert.
Bugs in Shai-Hulud: Die Wüste debuggen
Der Shai Hulud-Wurm hatte eigene Bugs und musste von den Angreifern gepatcht werden. Wir betrachten auch eine Zeitleiste der Ereignisse, um zu sehen, wie es sich entwickelte.
S1ngularity/nx-Angreifer schlagen erneut zu
Die Angreifer hinter dem nx-Angriff haben erneut zugeschlagen und eine große Anzahl von Paketen mit einer neuartigen Wurm-Payload ins Visier genommen.
Wir hatten Glück: Die Lieferkettenkatastrophe, die beinahe eingetreten wäre
Achtzehn weit verbreitete Open-Source-Pakete wurden kompromittiert, milliardenfach heruntergeladen und in nahezu jeder Cloud-Umgebung eingebettet. Die Community ist einem Unglück entgangen. Aber dieser knappe Vorfall zeigt, wie fragil unsere Software-Lieferkette wirklich ist.
duckdb npm-Pakete kompromittiert
Das beliebte Paket duckdb wurde von denselben Angreifern kompromittiert, die debug und chalk getroffen haben
npm debug- und chalk-Pakete kompromittiert
Die beliebten Pakete debug und chalk auf npm wurden mit bösartigem Code kompromittiert
Beliebte nx-Pakete auf npm kompromittiert
Das beliebte nx-Paket auf npm wurde kompromittiert, und gestohlene Daten wurden öffentlich auf GitHub veröffentlicht
Ein tieferer Einblick in den Bedrohungsakteur hinter dem react-native-aria-Angriff
Wir untersuchen die Aktivitäten des Bedrohungsakteurs, der react-native-aria-Pakete auf npm kompromittiert hat, und wie dieser seine Angriffe weiterentwickelt.
Bösartiges Krypto-Diebstahl-Paket zielt auf Web3-Entwickelnde in nordkoreanischer Operation ab
Aikido Security deckt einen nordkoreanisch-verbundenen Supply-Chain-Angriff auf, der das gefälschte npm-Paket web3-wrapper-ethers nutzt, um private Schlüssel von Web3-Entwickelnden zu stehlen. Der Bedrohungsakteur, der mit Void Dokkaebi in Verbindung gebracht wird, spiegelt frühere Krypto-Diebstahloperationen der DVRK wider. Erfahren Sie, wie der Angriff funktionierte und was zu tun ist, wenn Sie betroffen sind.
Aktiver NPM-Angriff eskaliert: 16 React Native Pakete für GlueStack über Nacht mit Backdoors versehen
Ein ausgeklügelter Supply-Chain-Angriff kompromittiert aktiv Pakete im Zusammenhang mit react-native-aria auf NPM, setzt einen heimlichen Remote Access Trojan (RAT) ein, der durch Verschleierung verborgen ist, und verbreitet sich über Module mit über einer Million wöchentlicher Downloads.
Sicherheit jetzt implementieren
Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.
