VS adviseert ontwikkelaars: wacht minstens 3 uur met installatie nieuwe packages

In dit artikel:

Het Amerikaanse cyberagentschap CISA waarschuwt dat ontwikkelaars de laatste weken het doelwit waren van supplychain-aanvallen waarbij kwaadwillenden malware in publieke pakketten op platforms als GitHub, npm en PyPI plaatsten. Wie zulke geïnfecteerde versies installeerde, riskeerde dat inloggegevens, tokens, sleutels en andere credentials werden gestolen en dat eigen projecten besmet raakten.

Om verdere incidenten te beperken raadt CISA aan om minstens drie uur te wachten met het installeren van een nieuw pakket, zodat de community tijd heeft verdachte of malafide releases te signaleren. Verder adviseert het agentschap om dependencies te pinnen op specifieke, vertrouwde versies, alleen pakketten van bekende bronnen te gebruiken, en workflow‑bestanden en contributeursactiviteit te monitoren en te auditen. Als een omgeving is gecompromitteerd, moeten alle secrets (wachtwoorden, keys, tokens) worden vervangen.

Aanvullende maatregelen die helpen bij het terugdringen van dit risico zijn onder meer controle op pakkethandtekeningen, gebruik van geverifieerde registries en geautomatiseerde dependency-scans.