Wie Angreifer npm-Signaturen missbrauchten: Vertrauenslücken im Ökosystem aufgedeckt
Im Mai 2024 nutzten Hacker gestohlene Zertifikate und automatisierte Signaturprüfungen, um schadhafte npm-Pakete mit gültigen Herkunftsnachweisen zu verbreiten. Die Angriffe offenbaren fatale Schwächen in gängigen Vertrauensmodellen für Entwicklertools – von VS Code bis zu KI-Coding-Agenten.