VK adviseert ontwikkelaars om packages niet automatisch te installeren

In dit artikel:

Het Britse National Cyber Security Centre (NCSC) waarschuwt softwareontwikkelaars recent om packages en dependency-updates niet automatisch te laten doorvoeren, maar eerst handmatig te controleren. Eerder raadde het Amerikaanse CISA aan minimaal drie uur te wachten met installatie van nieuwe packages. De oproep volgt op een reeks supplychain-aanvallen in de afgelopen weken waarbij kwaadwillenden besmette versies van pakketten op platforms als GitHub, npm en PyPI plaatsten. Ontwikkelaars die die geïnfecteerde updates installeerden zagen credentials, tokens en sleutels gestolen en hun eigen projecten besmet raken.

Het NCSC adviseert om automatische dependency-updates te pauzeren bij verdachte incidenten, een overzicht te maken van gebruikte dependencies en een afweging te maken tussen snel patchen en beheerste, langzamere updates om de impact van een aanval te beperken. Daarmee moet de verspreiding van malafide code en het risico op credentialdiefstal worden verkleind.