Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Bösartiges PyPI-Paket Automslc: Eine Deezer-Musikpiraterie-Operation

2025-03-02
Bösartiges PyPI-Paket Automslc: Eine Deezer-Musikpiraterie-Operation

Forscher haben ein bösartiges PyPI-Paket namens automslc entdeckt, das koordinierte, nicht autorisierte Musikdownloads von Deezer ermöglicht. Es wurde über 100.000 Mal heruntergeladen und umgeht die Zugriffsbeschränkungen der Deezer-API mithilfe von hartcodierten Anmeldeinformationen und einem C2-Server (54.39.49[.]17:8031), um vollständige Titel herunterzuladen und gegen die Nutzungsbedingungen von Deezer zu verstoßen. Der Angreifer, der mehrere Konten und ein GitHub-Profil verwendet, orchestriert eine verteilte Piraterieoperation, was die Bedeutung der Sicherheit der Software-Lieferkette und die Notwendigkeit für Entwickler und Organisationen hervorhebt, sich vor solchen Angriffen zu schützen.

Mehr lesen
(socket.dev)
Technologie Software-Lieferketten-Sicherheit Schadsoftware API-Missbrauch

cURL und Go-Sicherheitsteams lehnen fehlerhaftes CVSS-Bewertungssystem ab

2025-01-27
cURL und Go-Sicherheitsteams lehnen fehlerhaftes CVSS-Bewertungssystem ab

Die Sicherheitsteams von cURL und Go haben das Common Vulnerability Scoring System (CVSS) öffentlich als fehlerhaft für die Bewertung von Schwachstellen kritisiert und plädieren für genauere, kontextbezogene Ansätze. Der „Einheitsansatz“ von CVSS führt oft zu irreführenden Ergebnissen, insbesondere bei Projekten wie cURL mit Milliarden von Installationen. Daniel Stenberg, der Schöpfer von cURL, hob hervor, dass CVSS es versäumt, spezifische Kontexte zu berücksichtigen, was zu überhöhten oder ungenauen Bewertungen führt. Das Go-Sicherheitsteam schloss sich diesen Bedenken an und entschied sich für kontextbezogene Schweregradbewertungen. Dies unterstreicht die wachsende Unzufriedenheit mit CVSS und fördert die Suche nach besseren Alternativen. Dieser kontextbezogene Ansatz steht jedoch vor Herausforderungen, da die Maintainer Schwierigkeiten haben, alle Nutzungsszenarien genau einzuschätzen. Ein Kulturkonflikt zwischen Sicherheitsforschern und Open-Source-Maintainern verschärft das Problem, wobei Forscher nach Anerkennung streben und Maintainer sich auf die praktische Auswirkung konzentrieren. Das Problem des NVD-Backlogs verschlimmert die Situation.

Mehr lesen
(socket.dev)
Entwicklung Open-Source-Sicherheit Schwachstellenbewertung