Voor de 80-jarige Piet van der Burg is het vertrouwd terrein: het Sint-Pietersplein in Rome. De bloemsierkunstenaar mag dit jaar voor de vijfde keer de bloemen verzorgen tijdens de Paasmis in het Vaticaan.

Op deze eerste paasdag breekt in de loop van de ochtend de zon geregeld door, al kan er vooral vanmiddag ook een enkele bui vallen. Opvallend: de hoogste temperatuur is al gehaald. We startten met zo’n 12 graden en vanmiddag blijft het rond de 11 graden. De zuidwestenwind is vanochtend nog krachtig, maar neemt geleidelijk af. In de middag staat er een matige westenwind, aan zee nog vrij krachtig.

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zondag 5 april.

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zondag 5 april.

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zondag 5 april.

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zondag 5 april.

In dit artikel houden we je op de hoogte van het belangrijkste en meest opvallende 112-nieuws uit onze regio van zondag 5 april.

"Hackers briefly turned a widely trusted developer tool into a vehicle for credential-stealing malware that could give attackers ongoing access to infected systems," the news site Axios.com reported Tuesday, citing security researchers at Google.

The compromised package — also named axios — simplifies HTTP requests, and reportedly receives millions of downloads each day:

The malicious versions were removed within roughly three hours of being published, but Google warned the incident could have "far-reaching impacts" given the package's widespread use, according to John Hultquist, chief analyst at Google Threat Intelligence Group. Wiz estimates Axios is downloaded roughly 100 million times per week and is present in about 80% of cloud and code environments. So far, Wiz has observed the malicious versions in roughly 3% of the environments it has scanned.
Friday PCMag notes the maintainer's compromised account had two-factor authentication enabled, with the breach ultimately traced "to an elaborate AI deepfake from suspected North Korean hackers that was convincing enough to trick a developer into installing malware," according to a post-mortem published Thursday by lead developer Jason Saayman:

[Saayman] fell for a scheme from a North Korean hacking group, dubbed UNC1069, which involves sending out phishing messages and then hosting virtual meetings that use AI deepfakes to clone the face and voices of real executives. The virtual meetings will then create the impression of an audio problem, which can only be "solved" if the victim installs some software or runs a troubleshooting command. In reality, it's an effort to execute malware. The North Koreans have been using the tactic repeatedly, whether it be to phish cryptocurrency firms or to secure jobs from IT companies.

Saayman said he faced a similar playbook. "They reached out masquerading as the founder of a company, they had cloned the company's founders likeness as well as the company itself," he wrote. "They then invited me to a real Slack workspace. This workspace was branded... The Slack was thought out very well, they had channels where they were sharing LinkedIn posts. The LinkedIn posts I presume just went to the real company's account, but it was super convincing etc." The hackers then invited him to a virtual meeting on Microsoft Teams. "The meeting had what seemed to be a group of people that were involved. The meeting said something on my system was out of date. I installed the missing item as I presumed it was something to do with Teams, and this was the remote access Trojan," he added. "Everything was extremely well coordinated, looked legit and was done in a professional manner."

Friday developer security platform Socket wrote that several more maintainers in the Node.js ecosystem "have come out of the woodwork to report that they were targeted by the same social engineering campaign."

The accounts now span some of the most widely depended-upon packages in the npm registry and Node.js core itself, and together they confirm that axios was not a one-off target. It was part of a coordinated, scalable attack pattern aimed at high-trust, high-impact open source maintainers. Attackers also targeted several Socket engineers, including CEO Feross Aboukhadijeh. Feross is the creator of WebTorrent, StandardJS, buffer, and dozens of widely used npm packages with billions of downloads... Commenting on the axios post-mortem thread, he noted that this type of targeting [against individual maintainers] is no longer unusual... "We're seeing them across the ecosystem and they're only accelerating."

Jordan Harband, John-David Dalton, and other Socket engineers also confirmed they were targeted. Harband, a TC39 member, maintains hundreds of ECMAScript polyfills and shims that are foundational to the JavaScript ecosystem. Dalton is the creator of Lodash, which sees more than 137 million weekly downloads on npm. Between them, the packages they maintain are downloaded billions of times each month. Wes Todd, an Express TC member and member of the Node Package Maintenance Working Group, also confirmed he was targeted. Matteo Collina, co-founder and CTO of Platformatic, Node.js Technical Steering Committee Chair, and lead maintainer of Fastify, Pino, and Undici, disclosed on April 2 that he was also targeted. His packages also see billion downloads per year... Scott Motte, creator of dotenv, the package used by virtually every Node.js project that handles environment variables, with more than 114 million weekly downloads, also confirmed he was targeted using the same Openfort persona.
Socket reports that another maintainer was targetted with an invitation to appear on a podcast. (During the recording a suspicious technical issue appeared which required a software fix to resolve....)

Even just technical implementation, "This is among the most operationally sophisticated supply chain attacks ever documented against a top-10 npm package," the CI/CD security company StepSecurity wrote Tuesday

The dropper contacts a live command-and-control server, delivers separate second-stage payloads for macOS, Windows, and Linux, then erases itself and replaces its own package.json with a clean decoy... Three payloads were pre-built for three operating systems. Both release branches were poisoned within 39 minutes of each other. Every artifact was designed to self-destruct. Within two seconds of npm install, the malware was already calling home to the attacker's server before npm had even finished resolving dependencies... Both versions were published using the compromised npm credentials of a lead axios maintainer, bypassing the project's normal GitHub Actions CI/CD pipeline.
"As preventive steps, Saayman has now outlined several changes," reports The Hacker News, "including resetting all devices and credentials, setting up immutable releases, adopting OIDC flow for publishing, and updating GitHub Actions to adopt best practices."

The Wall Street Journal called it "the latest in a string of incidents exposing risks in the systems that underpin how modern software is built."

Read more of this story at Slashdot.

In 1986 opende een vestiging van McDonald’s bij de Spaanse Trappen in Rome. De Italiaanse journalist Carlo Petrini, protesteerde niet met spandoeken maar met kommen penne die hij uitdeelde aan voorbijgangers. Zo begon Slow Food, inmiddels een wereldbeweging met honderdvijftigduizend leden in honderdzestig landen — gebouwd op het besef dat we niet sneller moeten eten, maar beter.

Nu is er Slow Science: een nieuw manifest, van begin dit jaar, die oproept tot een vergelijkbare omwenteling in de wetenschap. (De initiatiefnemers verwijzen expliciet naar de parallel met Slow Food.) Het nieuwe manifest is pan-Europees. Wat ze delen is een grondgedachte: dat versnelling een vijand is van kwaliteit.

Die gedachte komt geen moment te laat, want de snelkookpan van de wetenschap staat op ontploffen. De wereldwijde productie van wetenschappelijke artikelen steeg van twee miljoen in 2010 naar 3,3 miljoen in 2022 — een groei van 65 procent in twaalf jaar. Verwacht wordt dat door de komst van kunstmatige intelligentie die stroom alleen maar toeneemt. En er zijn weinig aanwijzingen dat hiermee ook de groei van kennis toeneemt.. Een bekende studie in Nature uit 2023, gebaseerd op een analyse van 45 miljoen artikelen en 3,9 miljoen patenten over zes decennia, toonde aan dat die artikelen en patenten steeds minder ‘disruptief’ zijn. Ze bouwen voort op bestaand werk in plaats van het te vervangen. Steeds meer onderzoekers, steeds meer artikelen, steeds minder echt nieuw inzicht.

Hoe komt dat? Het Slow Science Manifest wijst op een samenspel van factoren. Publicatiedruk maakt van onderzoekers lopende-bandarbeiders die hun cv vullen met in kleine plakjes uitgesneden onderzoek. Competitieve subsidierondes concentreren middelen bij een kleine groep, waardoor de rest van de wetenschap in chronische onzekerheid verkeert. Peer review wordt slordiger naarmate reviewers meer manuscripten moeten beoordelen, en de ongeschreven regels van het vak — je citatie-index, je impactfactor — belonen alles behalve langzaam en diep nadenken. Chatbots verergeren het probleem: ze maken het makkelijker om meer te publiceren, maar niet per se om meer te ontdekken.

Je kunt daar pragmatisch op reageren: zo is de academische wereld nu eenmaal, en wie er niet in mee wil draaien, werkt maar ergens anders. Maar dat gaat voorbij aan wat wetenschap zou moeten zijn, de bijdrage die ze aan onze samenleving en ons aller leven kan leveren. Wetenschap is geen modern kantoorgebouw dat iedere paar jaar moet worden gesloopt en herbouwd. Ze is een kathedraal die steen voor steen verrijst, over generaties. De fundamenten van de kwantummechanica werden niet gelegd door onderzoekers die bezorgd waren over hun jaarlijkse output; Darwin publiceerde On the Origin of Species na twintig jaar dubben. Charles Goodyear besteedde meer dan een decennium aan gevulkaniseerd rubber voordat hij zijn doorbraak bereikte. een tijdsinvestering die, zoals chemicus Jean-François Lutz in Nature Chemistry opmerkte, in het huidige systeem ondenkbaar zou zijn, zoals er inmiddels al meerdere beschouwers van de wetenschap zijn die laten zien dat de grote geesten van vroeger niet meer in het systeem passen.

Het Slow Science Manifest is niet het eerste dat dit punt maakt. In 2011 publiceerde een groep Duitse academici onder de naam Slow Science Academy een korter manifest, met de mededeling dat wetenschap tijd nodig heeft om te denken, te lezen en te falen. In 2018 kwam de Belgische filosofe Isabelle Stengers met Another Science is Possible, waarin ze betoogde dat de wetenschap is overgenomen door marktdenken. Het nieuwe manifest bouwt (langzaam!) op die traditie voort, maar is concreter in zijn programma: het richt zich expliciet tot geldverstrekkers, universiteiten, uitgevers en onderzoekers zelf.

Iemand die zichzelf slow noemt, is misschien niet in staat tot revolutie. Maar misschien is die wel nodig, zolang het systeem zichzelf in stand houdt. Een individuele jonge onderzoeker die besluit om minder te publiceren en langer na te denken, pleegt in veel vakgebieden carrièrezelfmoord, tenzij beoordelingscommissies meeveranderen. Het manifest erkent dit probleem en roept daarom vooral mensen met vaste aanstellingen op om het voortouw te nemen.

En toch. Er is iets wezenlijks verschoven in het wetenschappelijke zelfbewustzijn van de afgelopen jaren. De tekenen zijn overal: in de discussie over de replicatiecrisis, in de groeiende scepsis over bibliometrische maatstaven, in het feit dat steeds meer onderzoekers openlijk zeggen dat het systeem ze kapotmaakt. Het Slow Science Manifest is geen revolutie. Het is een symptoom van een breed gedragen onbehagen en hopelijk een eerste stap naar iets beters.

Of het genoeg is? Het gesprek voeren is in ieder geval een begin. En soms begint verandering bij het uitdelen van kommetjes penne.

Aan de hartelijke joods-christelijke traditie, waar menigeen heimwee naar schijnt te hebben, was voor de joden tot in de 20e eeuw weinig vreugdevols. Immers: zij hadden Jezus vermoord en dat werd hen op alle mogelijke manieren door christenen nagedragen.

Vanaf de vierde eeuw wordt op goede vrijdag het evangelie van Johannes gebruikt waarin de joden de duidelijke daders zijn.Tijdens de middeleeuwse Goede Vrijdagdienst baden christenen voor de "perfide" - of bedrieglijke - Joden en dat God "de sluier over hun hart zou verwijderen zodat zij Jezus Christus zouden kennen."

Middeleeuwse christenen ontvingen dus de boodschap op Goede Vrijdag dat de Joden in hun midden de vijanden waren van christenen. Deze boodschap over de bedriegelijke leidde tot fysiek geweld tegen lokale Joodse gemeenschappen rond de pasen.

Het was gebruikelijk dat Joodse huizen met stenen werden aangevallen. Vaak werden deze aanvallen geleid door de geestelijkheid. Er waren zelfs voorschriften die de gewelddadigheden regelden. Zo mochten kinderen beneden de 16 geen stenen gooien.

Lokale geestelijken die het geweld tegen Joden aanmoedigden en eraan deelnamen waren in overtreding met de regels van hun eigen kerk. Het kerkelijk recht zei Joden te beschermen en verplichtte hen om op Goede Vrijdag binnen te blijven. Maar iedereen wist dat dat dode regels waren.

Hoewel het geweld tegen Joden op Goede Vrijdag na de Middeleeuwen minder werd, veranderde de taal over Joden in de Goede Vrijdag-dienst pas na het Concilie in de jaren zestig. Dat de oeroude haat tegen de joden mede tot de Holocaust had geleid was ook het Vaticaan niet ontgaan.

Maar sporen antisemitisme zijn er genoeg in de westerse cultuur. Alleen al de tekst van de Mattheus Passion van Bach brengt de schuld van de joden jaarlijks in herinnering.

Bron(nen): The Conversation