Großer Supply-Chain-Angriff in populärem npm-Paket mit 14 Millionen wöchentlichen Downloads entdeckt. Kompromittierte PyPI-Pakete zielen mit Credential-Stealing-Malware auf Machine-Learning-Pipelines. Eine Backdoor in einer weit verbreiteten GitHub Action exfiltriert seit 6 Monaten CI/CD-Secrets.
⚡ Fazit: Prüfen Sie sofort Ihre Abhängigkeiten. Rotieren Sie alle CI/CD-Anmeldedaten, die möglicherweise exponiert wurden.
Das npm-Paket "event-stream-utils" (14,2M wöchentliche Downloads) wurde über eine Maintainer-Account-Übernahme kompromittiert. Bösartiger Code in Version 4.7.3 stiehlt Umgebungsvariablen, AWS-Anmeldedaten und Kryptowährungs-Wallet-Schlüssel. Das Paket wird von großen Finanz- und Technologieunternehmen verwendet.
Typosquatting-Pakete auf PyPI, die auf ML/KI-Entwickler abzielen, wurden 45.000+ Mal heruntergeladen. Pakete enthalten Malware, die Modell-Trainingsdaten, Jupyter-Notebook-Inhalte und API-Schlüssel exfiltriert.
Eine Backdoor-Version der populären GitHub Action "actions/cache-restore" (nicht das offizielle actions/cache) hat heimlich Repository-Secrets, Umgebungsvariablen und Quellcode seit August 2025 exfiltriert. Über 3.200 Repositories betroffen.
Get a free security scan of your website in 60 seconds
Free Security Scan →