Nord Nord Sec #60

Moin, Hallo, Ahoi und Herzlich Willkommen zur neuesten Ausgabe von Nord-Nord-Sec.

Natürlich habe Ich auch diese Woche wieder eine Sammlung interessanter Nachrichten und Gedanken im Gepäck. Ausnahmsweise mal ohne MCP, dafür mit einem spassigen Video in die Welt der Stellenanzeigen, Elixir und in verschiedene Aspekte von GitHub.

Viel Spass beim lesen - Leinen los!

Artikel

Exploits, Hacks und Schwachstellen

⚡️Supply Chain Angriff via nx leakt Tausende valide Github, Cloud und AI Credentials Angreifenden gelang es, bösartige Versionen des weit verbreiteten npm‑Pakets nx (≈3,5 Mio. wöchentliche Downloads) zu veröffentlichen. Dabei nutzten Sie AI‑Assistenten wie Claude, Google Gemini und Amazon Q als Werkzeuge, um Daten zu exfiltrieren.

Dies ist der erste bekannt gewordene Fall, in dem Angreifer AI‑Tools zur Supply‑Chain‑Exploitation und zum Umgehen traditioneller Sicherheitsgrenzen einsetzten. Die Payload lief auf Linux und macOS, durchsuchte Systeme nach sensiblen Dateien (.gitconfig, SSH‑Keys) und exfiltrierte 2.349 Anmeldeinformationen, darunter über 1.000 GitHub‑Tokens, Cloud‑ und npm‑Tokens.

Die ausgenutzte Schwachstelle, mit der die Schadhafte Version eingeschleust wurde, war eine Injection im PR‑Titel.

⚡️Zero-Click-Angriff auf Apple-Geräte via Whatsapp Meta hat mit den letzten Updates eine Schwachstelle geschlossen, mit denen es Angreifenden möglich war, Spyware auf den Apple-Geräten der Angegriffenen Personen zu installieren. Dazu nutzten die Angreifer auch die zuletzt in iOS behobenen Schwachstelle CVE-2025-43300.

Betroffen sind folgende Versionen:

• WhatsApp for iOS Version 2.25.21.73 oder älter

• WhatsApp Business for iOS Version 2.25.21.78

• WhatsApp for Mac version 2.25.21.78 oder älter

Solltet ihr auf diesen Versionen unterwegs sein - unbedingt direkt updaten!

⚡️ Microsoft Copilot greift ohne Audit Log Eintragungen auf Daten zu Zack Korman berichtet, dass M365 Copilot manchmal Dateien ausliest und Inhalte zurückliefert, während das Audit‑Log dafür keine Zugriffe verzeichnet. Um das Verhalten zu erzwingen, kann Copilot einfach angewiesen werden, keinen Link zur Datei anzugeben.

Das ermöglicht Zugriff ohne Spuren, untergräbt die Verlässlichkeit von Audit‑Logs für Incident-Analysen oder sonstige Audits und betrifft potenziell alle Kund*innen mit Copilot.

Microsoft teilte am 14. August mit, es plane keine Offenlegung und vergibt keine CVE.

Scheinbar sieht man es in Redmond so, dass das kein Bug ist sondern sich im Rahmen des spezifizierten Verhalten bewegt - oder man möchte da etwas unter den Teppich kehren.

⚡️ Docker Desktop Vulnberability Leads to Host Compromise Eine Schwachstelle in Docker Desktop (CVE-2025-9074) ermöglichte es Angreifern, Zugriff auf das Filesystem des Hosts zu erhalten. Das war möglich, da die interne HTTP API von Docker ohne Authentifizierung erreichbar war.

Die Schwachstelle wurde in Docker Desktop 4.44.3 behoben und hat sowohl Windows als auch macOS Hosts betroffen.

Konzepte, Reports und Ideen

💌 The Role of Enterprise Email Security in Modern Cybersecurity Strategies Viele Admins stöhnen bereits beim Gedanken an Email (Security) - aber warum eigentlich? Owais Sultan erläutert uns hier, wieso E-Mail-Sicherheit heute Kernbestandteil in der Enterprise Secuirty ist: Ein kompromittiertes Postfach gewährt Zugang zu Cloud‑Anwendungen, Dateifreigaben, Kalendern und Authentifizierungssystemen. Game Over!

Moderne Email Security Lösungen vereinen also Spam‑ und Malware‑Filter, Threat‑Intelligence und ML‑gestützte Anomalieerkennung. Sie erkennen in Echtzeit gefälschte Absender, gefährliche Anhänge und Social‑Engineering‑Angriffe - und setzen automatisiert Gegenmaßnahmen ein, da menschliche Kontrolle allein mit der Skalierung und Raffinesse der Angriffe nicht mehr mithält.

 🪲 What is the pattern that can be expected after going public with a bug bounty program? Ein kleiner Einblick in die Erkenntnisse von Intigriti, was Firmen erwarten können, wenn sie mit einem Bug Bounty Programm live gehen.

💉 Why Google’s Warning Highlights Critical Risk of AI Context-Injection Attacks Keren Katz und Robert Huber von Tenable haben sich Gedanken gemacht, warum Google’s jüngste Warnung vor indirekten Prompt Injections die besondere Kritikalität dieser Angriffe betont. Das grosse Problem is, dass die Ausgaben legitim wirken, automatisierte Agenten gegebenenefalls unbeobachtet handeln.

Die Lösung? Ich weiss es nicht - sagt es mir. Ohne Umsicht, Vorsicht und stetige Skepsis gegenüber der Ausgaben von LLM-Systemen, scheint es nicht zu funktionieren.

📚️ Buchtipp! Investments Unlimited Nachdem ich sowohl großer Fan vom Phoenix als auch dem Unicorn Project bin, wurde mir letztens auch Investments Unlimited empfohlen - einem geistigen Nachfolger der beiden Bücher von Gene Kim.

Bei Investments Unlimited liegt der Fokus allerdings nicht “nur” auf dem DevOps gedanken und Agilität, sondern es geht im Kern um die Integration von weiteren Departements neben Dev und Ops in den DevSecOps Prozess. Compliance-Automatisierung, Reproducable Builds, SBOM - das sind nur einige der Schlagworte, die sich in den knapp 200 Seiten finden lassen. Eine sowohl kurzweilige wie informative Erfahrung. 12/10 would automate again!

Tech, Gesellschaft, Kultur

📺️ The Dark Side of GitHub Interessante Recherche von BigBoxSWE, die sich mit den dunklen Seiten von Github beschäfftigt. Gekaufte Sterne, Forks und ganze Profile - but why? Scheinbar ist das eigene Github Profil mittlerweile auch ein beliebtes Tool, um am HR-Filter vorbei zu kommen oder beim Investoren-Angeln.

🧠 Wrap Up: The Month of AI Bugs Johann hat seinen Month of AI Bugs abgeschlossen - hier findet ihr noch einmal seine Beiträge des letzten Monats.

💻️ Introducing the new Framework Laptop Normalerweise interessiert mich das neueste Modell von irgendwelchen Notebooks ja echt wenig - Aber das, was Framework hier seit einigen Jahren bietet, ist einfach etwas ganz besonderes. Und ganz besonders schönes. Da juckt es mich zunehmend in den Fingern… Vernünftige Hardware, Reparier-Freudig und Preis/Leistungs-Technisch wohl auch durchaus im Rahmen… 🤔 

📺️ Es Es Ka Em: Warum gute Leute nicht bei euch arbeiten wollen Florian Haas erläutert dem Publikom auf der FrOSCon 2025, was Unternehmen eigentlich alles falsch machen bei der Mitarbeitendengewinnung. Ihr kennt das “Mimimi, Fachkräftemangel” oder “Was sollen wir denn machen, wenn sich bei uns nur alte weisse Männer bewerber?” - Hier gibt es praktische Tipps aus dem echten Leben. 👏 

📺️TDF 2025: Writing a Webserver | An Elixir Tutorial Mal was ganz anderes hier - Ein unterhaltsamer Vortrag zu Web Servern (aus funktionaler Perspektive) und wie man das ganze mit Elixir umsetzen kann. Das ist auch so eine Programmiersprache, mit der Ich bisher keinen Kontakt hatte - aber die von einer kleinen, engagierten Community mit Begeisterung verwendet wird. Und sowas steckt an. 👍️ 

Bug Bounty Tips, Security Tools und Techniken

🔍️ Github Dorking for Beginners: How to find more vulnerabilities using Github Search Ein kleiner Primer um mit der Suche von Github mehr Schwachstellen finden zu können.

🗺️ Identifying the server’s origin IP behind popular reverse proxies Auch hier wieder etwas aus der Intigriti Knowledge Base - wie könnt ihr die origin IP hinter verschiedenen Reverse Proxies herausfinden!

💾 Joomla Security Testing Guide 2025: Recon and Exploitation Es mag für manche komisch klingen - aber es gibt mehr CMS Systeme als nur Wordpress. Joomla hat sich vor einigen Jahren ebenfalls grosser Beliebtheit erfreut - und hier habe Ich einen aktuellen Guide gefunden, wie ihr das im Jahr 2025 noch vernünftig angreifen könnt. 🚀 

Das Zitat der Woche stammt aus meinem Buchtipp - Investments Unlimited. Zitate wie dieses hört man öfter als man meinen sollte von Erfahrenen Kollegen der GRC Abteilungen.

Transparenz schaffen, Probleme identifizieren und informiert Entscheidungen treffen.

Cheers,

Martin

PS: Euch gefällt was ihr hier lest? Schaut auch mal bei meinen Empfehlungen vorbei und meldet euch an. ❤️