Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Kritische Warnung: Großangelegter Angriff auf die Lieferkette trifft NPM-Ökosystem

2025-09-16
Kritische Warnung: Großangelegter Angriff auf die Lieferkette trifft NPM-Ökosystem

Über 40 npm-Pakete, darunter das beliebte Paket @ctrl/tinycolor (über 2 Millionen wöchentliche Downloads), wurden in einem ausgeklügelten Angriff auf die Lieferkette kompromittiert. Der Angreifer verwendete einen sich selbst verbreitenden Mechanismus, um nachgelagerte Abhängigkeiten zu infizieren, was zu einem kaskadierenden Kompromiss führte. Die Nutzlast ist ein mit Webpack gebündeltes Skript, das AWS-, GCP-, GitHub- und andere Cloud-Anmeldeinformationen und sensible Daten stiehlt und über GitHub Actions eine persistente Hintertür etabliert. Der Angriff hat zu einem weit verbreiteten Diebstahl von Anmeldeinformationen geführt; sofortiges Handeln ist erforderlich, um betroffene Pakete zu überprüfen und alle Anmeldeinformationen zu rotieren.

Mehr lesen
(www.stepsecurity.io)
Entwicklung

GitHub Action kompromittiert: tj-actions/changed-files schleust Schadcode ein

2025-03-15
GitHub Action kompromittiert: tj-actions/changed-files schleust Schadcode ein

Ein kritischer Sicherheitsvorfall hat die GitHub Action tj-actions/changed-files kompromittiert und über 23.000 Repositorys betroffen. Angreifer haben mehrere Versions-Tags rückwirkend so geändert, dass sie auf ein schädliches Commit verweisen, wodurch CI/CD-Geheimnisse in öffentlichen Build-Logs offengelegt wurden. StepSecurity Harden-Runner hat diese Anomalie erkannt. Die kompromittierte Action führt ein schädliches Python-Skript aus, das Geheimnisse aus dem Runner Worker-Prozess extrahiert. Sofortiges Handeln ist erforderlich: Beenden Sie die Verwendung der betroffenen Action und überprüfen Sie die Build-Logs auf ausgelaufene Geheimnisse.

Mehr lesen
(www.stepsecurity.io)
Entwicklung