actions/checkout v7 schlägt fehlgeschlagene Workflows ab, die pull_request_target oder workflow_run mit unverifiziertem Fork-Code nutzen – ein Schritt zur “Security by Default”-Philosophie.
Mindestens 15 malware-Plugins im JetBrains Marketplace zielten darauf ab, KI-API-Schlüssel von Entwicklern zu stehlen und damit auf firmeninterne Dienste zuzugreifen.
VSCode verzögert Erweiterungs-Updates automatisch um zwei Stunden nach Veröffentlichung, um die Ausbreitungszeit von kompromittierten Versionen zu minimieren.
Eine in Rust geschriebene Malware kompromittiert NPM-Pakete, stiehlt Entwickler-Credentials und nutzt diese zur Ausbreitung in der Software-Lieferkette.
Eine One-Click-Attacke auf VS Code ermöglicht es Angreifern, vollständige GitHub OAuth-Token mit Schreib- und Lesezugriff auf private Repositories zu stehlen.
Angreifer nutzten ein scheinbar legitimes npm-Paket mit 27.000 wöchentlichen Downloads, um Refresh-Token zu stehlen, die unbegrenzten Zugriff auf Konten ermöglichen.