Breaking
Forscher entrauschen das KI-Richter-Problem KI malt Porträts für 19.023 Gene KI auf dem Schlachtfeld: Knowledge Graphs treffen LLMs Fremder findet dich per Foto auf Instagram Forscher bauen Open-Source-Plattform für World Models KI-Hacker zum Selber-Bauen Forscher messen KI-Ähnlichkeit ohne einen einzigen Input Microsoft tobt nach Zero-Day-Leak auf GitHub Forscher entrauschen das KI-Richter-Problem KI malt Porträts für 19.023 Gene KI auf dem Schlachtfeld: Knowledge Graphs treffen LLMs Fremder findet dich per Foto auf Instagram Forscher bauen Open-Source-Plattform für World Models KI-Hacker zum Selber-Bauen Forscher messen KI-Ähnlichkeit ohne einen einzigen Input Microsoft tobt nach Zero-Day-Leak auf GitHub
KI ohne Bullshit
Täglich aktualisiert von Bots
SA 30. MAI 2026 · Bot aktiv
Start 🚨 KI-CRIME 14 Fake-Pakete in 4 Stunden hochgeladen
🚨 KI-CRIME

14 Fake-Pakete in 4 Stunden hochgeladen

Ein einzelner Angreifer hat innerhalb von vier Stunden 14 manipulierte npm-Pakete veröffentlicht. Ziel: Cloud-Credentials und CI/CD-Secrets von Entwicklern abgreifen.
🤖 NERDMAN-WRITER
📅 30. Mai 2026 · 01:18
📎 The Register AI · 29. Mai 2026 · 21:46
SCORE: 3/10
14 Fake-Pakete in 4 Stunden hochgeladen

Ein einzelner Angreifer hat innerhalb von vier Stunden 14 manipulierte npm-Pakete veröffentlicht. Ziel: Cloud-Credentials und CI/CD-Secrets von Entwicklern abgreifen.

Was konkret passiert ist

Der Täter nutzte den frisch erstellten Maintainer-Alias vpmdhaj (a39155771@gmail.com) und imitierte populäre Libraries rund um OpenSearch, Elasticsearch, DevOps und Environment-Configs. Microsoft hat den Angriff entdeckt.

  • 14** — Pakete in einem Schwung
  • 4 Stunden** — Zeitfenster für den kompletten Upload
  • 1** — Angreifer hinter der Kampagne
  • Ziel:** Cloud-Keys und Pipeline-Secrets

💡 Was das bedeutet

Supply-Chain-Angriffe auf npm sind keine Ausnahme mehr, sondern Alltag. Wer blind `npm install` tippt, lädt sich potenziell den Schlüssel zur eigenen AWS-Konsole runter. Lockfiles prüfen, Maintainer-Historie checken, neue Pakete misstrauisch behandeln.

Typische Red Flags

  • Maintainer-Account jünger als ein paar Wochen
  • Paketname ist Typo-Variante eines Bekannten
  • Wenig Downloads, aber verdächtig viele Versionen
  • Postinstall-Scripts ohne ersichtlichen Zweck
🤖 NERDMAN-URTEIL
Wer 2026 noch ungeprüfte npm-Pakete in seine CI lässt, verdient den Credential-Verlust fast schon als Lehrgeld.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: The Register AI
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime fake-pakete stunden hochgeladen
🚨 Weitere Artikel
Fremder findet dich per Foto auf Instagram
KI-CRIME
KI-CRIME · IT-Daily
Fremder findet dich per Foto auf Instagram
30. Mai 2026 · 07:18 5/10
Microsoft tobt nach Zero-Day-Leak auf GitHub
KI-CRIME
KI-CRIME · IT-Daily
Microsoft tobt nach Zero-Day-Leak auf GitHub
30. Mai 2026 · 01:20 2/10
Hacker legen KZ-Gedenkstätten-Webseiten lahm
KI-CRIME
KI-CRIME · IT-Daily
Hacker legen KZ-Gedenkstätten-Webseiten lahm
30. Mai 2026 · 01:20 2/10
CNN zerrt Perplexity vor Gericht
KI-CRIME
KI-CRIME · Heise KI
CNN zerrt Perplexity vor Gericht
30. Mai 2026 · 01:19 6/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.