Lieferkette

Ein weitreichender Angriff auf das npm-Ökosystem sorgt derzeit für Unruhe in der Entwickler-Community. Mehr als 40 Pakete, darunter das weit verbreitete "@ctrl/tinycolor" mit über zwei Millionen wöchentlichen Downloads, wurden kompromittiert. Der Vorfall zeigt eindrücklich, wie professionell und automatisiert Angriffe auf die Software-Lieferkette inzwischen ablaufen.

Ein gezielter Phishing-Angriff auf einen Maintainer hat weitreichende Folgen für das npm-Ökosystem: 20 weit verbreitete Pakete wurden mit Schadcode infiziert. Betroffen sind Bibliotheken, die wöchentlich Milliardenfach heruntergeladen werden und in zahlreichen Projekten zum Einsatz kommen. Die eingeschleuste Malware zielt insbesondere auf den Diebstahl von Kryptowährungen ab.

Über ein Jahr nach der Entdeckung der berüchtigten XZ-Utils-Hintertür sind noch immer kompromittierte Versionen in öffentlichen Docker-Images zu finden. Sicherheitsforscher warnen vor den Folgen für die Lieferkette und mahnen zu kontinuierlicher Kontrolle auch bei älteren Basis-Images.

Kingston Digital hat mit dem IronKey D500S einen USB-Stick vorgestellt, der nun die FIPS 140-3 Level 3 Validierung durch das US-amerikanische NIST erhalten hat. Der Stick ist damit eines der ersten mobilen Speichergeräte, das diesen besonders strengen Sicherheitsstandard erfüllt – und laut Hersteller derzeit das einzige, das zusätzlich über eine nachweislich vertrauenswürdige Lieferkette verfügt.

HP hat die Einführung der HP Enterprise Security Edition angekündigt, einer Sicherheitslösung für Business-PCs, die auf den Schutz der Hardware- und Firmware-Ebene abzielt. Die Suite kombiniert mehrere Schutzmechanismen, um physische Angriffe auf Geräte zu verhindern und Manipulationen zu erkennen.

CodeSecure hat seine Binärcode-Analyse-Plattform CodeSentry aktualisiert. CodeSentry ermöglicht es Unternehmen, Sicherheitsschwachstellen im Code von Drittanbietern zu erkennen und somit ihre Software-Lieferkette abzusichern – auch dann, wenn kein Zugriff auf den Quellcode vorhanden ist. Die neue Version CodeSentry 6.1 bietet zusätzliche Funktionen für das Management der Software-Stücklisten.

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um Sicherheitskriterien? Cyberangriffe auf Lieferketten treffen besonders kleine und mittelständische Unternehmen zeigt der neueste Threat Report von Sophos.