Bad Dependencies Podcast

Échec de l'ajout au panier.

Veuillez réessayer plus tard

Échec de l'ajout à la liste d'envies.

Veuillez réessayer plus tard

Échec de la suppression de la liste d’envies.

Veuillez réessayer plus tard

Échec du suivi du balado

Ne plus suivre le balado a échoué

Bad Dependencies Podcast

Auteur(s): Mackenzie Jackson

Écouter gratuitement

À propos de cet audio

Welcome to Bad Dependencies, the podcast where the digital supply chain gets audited in real-time. Hosted by security researchers Charlie Erikson and Mackenzie Jackson from Aikido Security, this bi-weekly show dives deep into the wildest, weirdest, and most dangerous malware found lurking in package registries like NPM and PyPI. From image-based payloads to AI-generated code noise, nothing is off-limits as Charlie and Mackenzie explore the bleeding edge of software supply chain attacks. Whether you’re a developer, security enthusiast, or just malware-curious, Bad Dependencies will open your eyMackenzie Jackson

Épisodes Voir plus

Inside ShaiHulud 2.0: The Supply-Chain Worm That Read Your Secrets

Nov 27 2025

In this episode, I sit down with Charlie Eriksen, the researcher who uncovered the Shai Hulud 2.0 campaign, for a deep dive into one of the wildest supply-chain attacks we’ve seen. What began as a strange detection quickly unraveled into a worm that spread across npm, GitHub, and even a compromised Open VSX extension.
“Patient Zero” was AsyncAPI, where the attackers exploited a subtle GitHub Actions flaw that let them run malicious code inside the org’s own CI pipelines without their pull request ever being merged. Unmerged PR → full RCE → stolen org-level credentials.
From there, the worm propagated through packages, harvested secrets with TruffleHog, dumped them into tens of thousands of GitHub repos, and, most shockingly, contained a wiper mode that deleted a victim’s entire home directory if it couldn’t create new repos.
It’s a fascinating and slightly terrifying look at how modern supply-chain attacks actually work under the hood. Give it a listen.

Voir plus Voir moins

38 min

Échec de l'ajout au panier.

Veuillez réessayer plus tard

Échec de l'ajout à la liste d'envies.

Veuillez réessayer plus tard

Échec de la suppression de la liste d’envies.

Veuillez réessayer plus tard

Échec du suivi du balado

Ne plus suivre le balado a échoué

Écouter gratuitement
The OpenVSX Supply Chain Attack: Invisible Malware in VS Code - Bad Dependencies Podcast

Oct 27 2025

In this episode of Bad Dependencies, Mackenzie Jackson and Charlie Eriksen dive into one of the most sophisticated malware incidents to target developers — the OpenVSX compromise. They unpack how attackers hid malicious code using Unicode obfuscation, discuss the shift from npm to VS Code extension attacks, and explore how the open-source ecosystem is responding. The episode also covers npm’s new token policies, trusted publishing, and what these changes mean for the future of supply chain security.Chapters:00:00 – Introduction & Discovery02:00 – What is OpenVSX and How It Works03:40 – Anatomy of the Malware Attack05:00 – Unicode Obfuscation and Detection08:20 – Attackers Move from npm to VS Code11:00 – npm’s Security Policy Overhaul17:40 – Trusted Publishing and the Future of Supply Chain Security

Voir plus Voir moins

23 min

Échec de l'ajout au panier.

Veuillez réessayer plus tard

Échec de l'ajout à la liste d'envies.

Veuillez réessayer plus tard

Échec de la suppression de la liste d’envies.

Veuillez réessayer plus tard

Échec du suivi du balado

Ne plus suivre le balado a échoué

Écouter gratuitement
Discovering Shai-Hulud and the Struggle to Raise the Alarm: Bad Dependencies ft Daniel Pereira

Sep 18 2025

In this episode, host Mackenzie Jackson is joined by Charlie Erikson and Daniel Pereira to uncover the story of Shai-Hulud — a self-propagating worm that shook the NPM ecosystem. Like the great sandworm of Arrakis, it surfaced suddenly, exfiltrating secrets and spreading through unsuspecting packages.Daniel recounts his discovery and the frustrating desert-like silence from major platforms as he tried to raise the alarm. Charlie dives into the worm’s anatomy, from environment variable theft to GitHub action exploits, showing how attackers evolved their tactics from the earlier NX breach.Together, they reflect on what it takes to fight worms in the shifting sands of open source, and why the community needs faster ways to respond before the next Shai-Hulud emerges.

Voir plus Voir moins

29 min

Échec de l'ajout au panier.

Veuillez réessayer plus tard

Échec de l'ajout à la liste d'envies.

Veuillez réessayer plus tard

Échec de la suppression de la liste d’envies.

Veuillez réessayer plus tard

Échec du suivi du balado

Ne plus suivre le balado a échoué

Écouter gratuitement

Pas encore de commentaire

Bad Dependencies Podcast

Échec de l'ajout au panier.

Échec de l'ajout à la liste d'envies.

Échec de la suppression de la liste d’envies.

Échec du suivi du balado

Ne plus suivre le balado a échoué

Bad Dependencies Podcast

À propos de cet audio

Inside ShaiHulud 2.0: The Supply-Chain Worm That Read Your Secrets

Échec de l'ajout au panier.

Échec de l'ajout à la liste d'envies.

Échec de la suppression de la liste d’envies.

Échec du suivi du balado

Ne plus suivre le balado a échoué

The OpenVSX Supply Chain Attack: Invisible Malware in VS Code - Bad Dependencies Podcast

Échec de l'ajout au panier.

Échec de l'ajout à la liste d'envies.

Échec de la suppression de la liste d’envies.

Échec du suivi du balado

Ne plus suivre le balado a échoué

Discovering Shai-Hulud and the Struggle to Raise the Alarm: Bad Dependencies ft Daniel Pereira

Échec de l'ajout au panier.

Échec de l'ajout à la liste d'envies.

Échec de la suppression de la liste d’envies.

Échec du suivi du balado

Ne plus suivre le balado a échoué