heise online Ticker
228 subscribers
72.7K links
News rund um IT und darüber hinaus

Powered by @DerNewsChannel
Download Telegram
Npm-Schwachstelle "Package Planting": Vertrauen ist gut, Kontrolle ist besser
#Aquasec #GitHub #SupplyChainAttack #npm #paketmanager

Eine als Package Planting bezeichnete Sicherheitslücke im Paketmanager npm erlaubte laut Aquasec, die Vertrauenswürdigkeit bekannter Maintainer zu missbrauchen․
Open-Source-Tool spürt Schadcode in Paketen auf npm, PyPI und Co auf
#OpenSSF #PyPi #Sicherheit #SupplyChain #Typosquatting #npm #paketmanager

Die OpenSSF hat mit Package Analysis ein Projekt gestartet, das Open-Source-Pakete auf verdächtiges Verhalten untersucht․
Linux-Distribution NixOS 22․05 bringt Pakete auf aktuellen Stand
#Betriebssystem #LinuxundOpenSource #Nix #NixOS #NixOS2205 #Update #paketmanager

Die Linux-Distribution NixOS macht Änderungen mit ausgeklügelten Rollback-Fähigkeiten zu einem risikolosen Unterfangen․ Version 22․05 aktualisiert viele Pakete․
Paketmanager: PyPI-Pakete wurden versehentlich mit Malware ausgeliefert
#Malware #PyPi #Python #paketmanager

Plattformen wie PyPI werden gern genutzt, um Softwarepakete mit Schadcode auszuliefern – bisweilen auch unabsichtlich, wie ein aktueller Fall zeigt․
Schwachstelle in der API von Travis CI legt sensible Nutzerdaten offen
#Aquasec #GitHub #SupplyChainAttack #npm #paketmanager

Laut Aquasec eröffnet eine Sicherheitslücke in der kostenfreien Version des CI/CD-Tools Travis CI Angreifern den Zugriff auf Tokens, Nutzerdaten und Passwörter․
Flut von Angriffen auf Paketmanager PyPI schleust Backdoor in Python-Pakete ein
#Backdoor #PyPi #Python #Sicherheit #SupplyChain #paketmanager

Nachdem zunächst Sonatype einen Angriff auf fünf Pakete im Python-Paketmanager entdeckt hat, füllt sich die CVE-Schwachstellendatenbank mit weiteren Vorfällen․
Vorbereitung auf Krypto-Miner-Angriff: Hunderte verdächtige Pakete auf npm
#KryptoMining #Kryptowährung #SupplyChainAttack #npm #paketmanager

Auf dem Paketmanager wurden über 1000 Pakete automatisiert erstellt, die einen Supply-Chain-Angriff vorbereiten könnten․
Paketmanager PyPI startet 2FA-Pflicht mit kostenloser Hardware und einer Panne
#PyPi #Python #Sicherheit #Softwareentwicklung #SupplyChain #paketmanager

Kritische Projekte müssen auf 2FA umsteigen, die Betreiber verteilen 4000 Titan-Sicherheitsschlüssel․ Ein wichtiges Paket ging unterdessen zeitweilig verloren․
Open-Source-Tool von Microsoft erstellt "Software Bill of Materials"
#LinuxundOpenSource #Microsoft #SoftwareTeilelisten #SupplyChain #paketmanager #SBOM

Das SBOM-Tool Salus listet alle Komponenten und Dependencies von Projekten auf, um potenzielle Schwachstellen in der Software Supply Chain aufzuspüren․
Ransomware in Python-Paketmanager PyPI: Die Rückkehr der Skriptkiddies
#PyPi #Python #Ransomware #paketmanager

Eine Reihe von Paketen hat auf Typosquatting gesetzt und Code verbreitet, der unter Windows Dateien verschlüsselt․ Die Motive sind schleierhaft․
Paketmanager RubyGems․org: Multifaktor-Authentifzierung Pflicht für Top-Pakete
#MFA #PyPi #Ruby #RubyGems #SupplyChainAttack #npm #paketmanager

Mit der Umstellung auf Multifaktor-Authentifizierung für die Top-Downloads folgt der Ruby-Paketmanger den Vorbildern npm und PyPI․
Unsichtbare npm-Malware umgeht Sicherheitsprüfungen mit manipulierten Versionen
#Malware #Manipulation #Security #Sicherheitslücken #npm #paketmanager

JFrog hat ein unerwartetes Verhalten der npm-Werkzeuge entdeckt: Für Pakete bestimmter Versionsformate zeigen sie wohl keine sicherheitsrelevanten Hinweise an․