Trend-Themen
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Yan Practice ⭕散修🎒
Krypto seit 2017| ⭕rdinals|Inscription#81799 "Yan.sats"| 👉🏻 https://t.co/zu6WRzIZhz 👉🏻 https://t.co/UvfJSwwiHu
Schnell weg! n8n hat wieder eine Sicherheitslücke mit einer Bewertung von 10.0 aufgedeckt.
Viele nutzen n8n für automatisierte Handels- und Bestellvorgänge, zur Überwachung von Preisen und Liquidationsbedingungen, zur Verarbeitung von Wallet- oder Exchange-Webhooks, zur Benachrichtigung über Vermögensbewegungen, zur Anbindung von CEX / DEX APIs, zur Handhabung von privaten Schlüsseln oder API-Keys sowie zur Automatisierung von Wartung und Alarmierung.
Diese CVSS 10.0 Sicherheitslücke betrifft nicht nur eine einzelne Funktion, sondern die gesamte Steuerungsebene.
Unangemeldete Benutzer können n8n übernehmen, API-Keys / private Schlüssel lesen oder abfließen lassen, automatisierte Prozesse ändern, bösartige Überweisungen oder Handelslogik einfügen und sogar bei hochprivilegierten Bereitstellungen den gesamten Server übernehmen.
Das ist noch schlimmer als das, was ich gestern gepostet habe,
es könnte deinen Server lahmlegen.
-
Es gibt bereits Leute, die betroffen sind. Aktualisiere schnell n8n und wechsle alle verwendeten privaten Schlüssel-APIs, um die Sicherheit zu gewährleisten.
Ich habe den entsprechenden Sicherheitsbericht auf GitHub unten verlinkt:
Dies ist ein vollständiger Angriff, der aus CVE-2026-21858 in Kombination mit dem alten CVE-2025-68613 besteht.
672
Die heute plötzlich populär gewordene App „Ist es tot?“
Ich habe nach der internationalen Version gesucht, die „Demumu“ heißt.
Sie hat bereits den dritten Platz in der Kategorie Werkzeuge erreicht.
Die Tatsache beweist, dass der Hauptgrund für den Erfolg die Nachfrage ist, während Innovation sekundär ist.
--
Übrigens ist diese App wirklich nützlich. Jetzt, wo wir in eine superalte Gesellschaft eingetreten sind, ist es gut, dass meine Eltern sie benutzen können.
Ich hoffe, sie vergessen nicht, wie ich oft, Alpha zu aktualisieren und mir eine Menge Nachrichten zu schicken🤣
495
In dieser Marktlage zeigt der Traffic, dass sich alle immer noch sehr um die Sicherheit ihrer Gelder sorgen!
VMware Workstation Pro kann jetzt in der persönlichen Version kostenlos verwendet werden, sowohl unter Windows als auch unter Mac, sehr einfach.
Zuerst möchte ich sagen: „Die IOS-Datei für die Installation unter Windows bitte von Microsoft herunterladen. Wenn du eine von jemand anderem verpackte Version verwendest, ist das gleichbedeutend mit einem zusätzlichen Risiko.“
Für Linux lade einfach die offizielle Ubuntu-Version herunter, das Paket ist unproblematisch.
Wenn du nicht riskieren möchtest, dass beim Öffnen des Repos etwas schiefgeht, ist der sicherste Weg, das Repo mit VMware zu öffnen, anstatt es direkt auf dem lokalen Rechner zu öffnen.
Der einfache Ablauf ist wie folgt:
- Schritt 1: VMware oder Virtualbox installieren
Installiere VMware Workstation Pro auf deinem lokalen Rechner, solange du VMs ausführen kannst.
- Schritt 2: Betriebssystem in der VM installieren
Erstelle in VMware ein sauberes Betriebssystem (Windows / Linux ist in Ordnung),
diese VM dient nur dazu, „nicht vertrauenswürdigen Code zu betrachten“, logge dich nicht mit deinem privaten Konto ein.
- Schritt 3: Kein Bridged-Netzwerk verwenden
Stelle den Netzwerkmodus der VM auf NAT ein,
verwende nicht Bridged, um zu vermeiden, dass die VM direkt in dein internes Netzwerk gelangt.
- Schritt 4: Lokale Festplatte nicht einbinden
Binde nicht die lokalen Verzeichnisse Documents, Desktop, home in die VM ein.
Andernfalls würdest du gleich deine privaten Schlüssel und SSH-Keys direkt hinein senden.
- Schritt 5: Entwicklungswerkzeuge in der VM installieren
Installiere VS Code, Node, Git alles in der VM,
repo wird auch nur in der VM geklont.
- Schließlich: Repo in der VM öffnen
Danach sollten alle nicht vertrauenswürdigen Repos in der VM geklont, die IDE geöffnet und der Code angesehen werden.
Selbst wenn die IDE automatisch etwas ausführt, bleibt die Auswirkung nur in der VM.
--
Nachdem alle im fünften Schritt die Umgebung installiert haben, könnt ihr ein Snapshot erstellen, um einen Snapshot zu machen. Wenn das System später Probleme hat, kann es direkt wiederhergestellt werden.
Schließlich ist die VM extrem einfach, und für das Problem, das zuvor aufgetreten ist, als der AI-Agent das gesamte Systemverzeichnis gelöscht hat, kann die VM isoliert werden, und eine spezielle VM für die Entwicklung kann einfach erstellt werden.
Zur Information für alle.
9. Jan., 16:57
Achtung an alle, die nach Jahren den Job wechseln wollen,
ich habe in den letzten Tagen einige Beiträge auf Threads gesehen,
wo jemand bei einem Remote-Interview ein Repo geklont hat, ohne es manuell auszuführen,
und mit einer IDE (VS Code / Cursor ..) den Quellcode anzusehen,
und dabei sind die privaten Schlüssel des Computers nach außen gelangt.
--
Um die Angriffsmechanik zu ergänzen, viele Menschen haben das eigentlich missverstanden.
Heutzutage sind IDEs (VS Code, Cursor, WebStorm) schon lange nicht mehr nur Werkzeuge, um "Code zu betrachten".
Sobald du ein Repo öffnest, lädt die IDE automatisch die Konfigurationsdateien des Projekts mit Node.js,
um dir bei ESLint, Prettier, TypeScript-Typanalyse und Framework-Erkennung (Next.js / Vite / React) zu helfen.
Dateien wie eslint.config.js, prettier.config.js, next.config.js, vite.config.js,
diese sehen zwar wie Konfigurationsdateien aus, sind aber im Grunde "ausführbares JavaScript".
Angreifer verstecken bösartigen Code in diesen Konfigurationsdateien.
Du führst kein npm run aus, kein node index.js,
aber die IDE hat es bereits für dich ausgeführt.
Sobald es ausgeführt wird, kann es unter "Benutzerrechten" viele Dinge tun, wie z.B. die privaten Schlüssel, SSH-Keys, Konfigurationsdateien auf dem Computer zu lesen und die Daten nach außen zu senden, der gesamte Prozess zeigt kein Fenster an und lässt dich nichts bemerken.
Deshalb gibt es diese merkwürdige Situation:
Ich habe nur das Repo geklont,
ich habe nur die IDE geöffnet, um den Quellcode anzusehen,
aber die privaten Schlüssel auf dem Computer sind verschwunden.
Das ist nicht, weil du einen Fehler gemacht hast, und es ist auch nicht, weil du kein Sicherheitsbewusstsein hast,
sondern weil die modernen Frontend-Toolchains "automatisch Projektcode ausführen".
--
Im Grunde genommen, wenn ich einen Open-Source-Code bekomme, bin ich normalerweise auch nachlässig,
ich lasse ihn zuerst einmal von AI scannen, aber auch beim Öffnen von VS Code werde ich trotzdem betroffen sein Q_Q
Ich werde später eine isolierte Umgebung vorbereiten, die speziell für "nicht vertrauenswürdige Projekte" verwendet wird.
Am sichersten ist eine VM, dann Docker + VS Code Remote.
Lass Node.js, ESLint, Prettier und Frameworks alle in einer isolierten Umgebung scannen, selbst wenn es Probleme gibt, bleibt der Einfluss darin eingeschlossen.
Die in Windows integrierte Sandbox ist ebenfalls eine isolierte Umgebung, aber wenn du sie schließt, wird alles gelöscht, und du musst sie jedes Mal neu installieren.
Mit einer VM ist es viel praktischer, da du sie wiederverwenden und die Umgebung vollständig isolieren kannst, aber achte darauf, dass du das Netzwerk nicht direkt bridgest und die lokale Festplatte nicht einbindest, das wäre auch wie ein Hintertür öffnen Q_Q.
566
Top
Ranking
Favoriten