Paketierte Programmcode-Komponenten sind ein essenzieller Baustein in fast jeder Software Supply Chain – und daher auch ein willkommenes Ziel für Angreifer. Eine neue Vorgehensweise, Schadcode in Packages einzuschleusen und zu verbreiten, betrifft den Paketmanager npm, wie das Team Nautilus von Aquasec nun mitgeteilt hat. Die Security-Fachleute hatten eine Schwachstelle in den administrativen Einstellungen von npm entdeckt.
Npm-Schwachstelle „Package Planting“: Vertrauen ist gut, Kontrolle ist besser
