Lieferkettensicherheit

Der Security-Anbieter, dem Sie vertrauen, wurde gerade gehackt – und hat neun seiner Kunden mitgezogen. Die Icarus-Erpressungsgruppe kompromittierte Klue, eine Plattform für Competitive Intelligence. Sie brauchten keinen Zero-Day. Sie fanden ein einzelnes Legacy-Credential, gelangten in Klues Backend und pushten ein Code-Update, das still OAuth-Tokens für jede aktive Kundenintegration abgriff. Salesforce. Slack. HubSpot. Zoom. Google Drive.…

Ihr KI-Agent-Framework wurde über Nacht backdoored. 144 Pakete. 1,1 Millionen wöchentliche Downloads. Der Angriff begann mit einem ruhenden Konto. Mastra ist das dominante JavaScript/TypeScript-Framework für den Aufbau von KI-Agenten. Am 16. Juni übernahm ein Angreifer „ehindero“ – ein echtes früheres Mastra-Contributor-Konto, dessen npm-Konto Anfang 2025 inaktiv wurde. Seine Publish-Rechte für den gesamten @mastra-Scope wurden nie…

Ein Klick. Vollzugriff auf alle privaten Repositories Ihres Entwicklers. Forscher Ammar Askar veröffentlichte am 2. Juni einen funktionierenden Exploit für eine VS-Code-Zero-Day-Lücke – nachdem er Microsofts Offenlegungsprozess durchlaufen hatte und das Vertrauen in den Zeitplan verlor. Er veröffentlichte ihn öffentlich. Microsoft hatte innerhalb von 24 Stunden gepatcht. Ziel des Angriffs: Der browserbasierte Editor von GitHub,…

Das Security-Tool, das Ihr Entwickler gerade installiert hat, hat möglicherweise bereits Ihre Cloud-Keys gestohlen. Red Hats offizieller npm-Namespace wurde am 1. Juni kompromittiert. Zweiunddreißig Pakete unter @redhat-cloud-services – zusammen rund 80.000 Downloads pro Woche – enthielten ein Preinstall-Skript, das ausgeführt wurde, bevor eine einzige Zeile Anwendungscode lief. Bis das Paket fertig installiert war, hatte es…