Ein sechsminütiger Angriff kompromittierte das Vertrauensmodell der modernen JavaScript-Entwicklung, indem 84 bösartige Paketversionen über 42 @tanstack-Pakete durch eine legitime Release-Pipeline verteilt wurden. Der „Wurm“ verbreitete sich auf über 170 Pakete bei npm und PyPI, betraf über 518 Millionen kumulative Downloads und zielte auf den Diebstahl von Zugangsdaten ab.
Em 31 de março de 2026, a Anthropic publicou acidentalmente 513 mil linhas do código-fonte do seu agente Claude Code no npm devido a um erro de empacotamento. Este vazamento expôs a arquitetura interna, resultando em duas CVEs críticas que permitem execução remota de código e exfiltração de chaves API.
Es wurden bösartige Versionen des node-ipc npm-Pakets mit Stealer-/Backdoor-Payloads entdeckt. Die Malware sammelt Anmeldeinformationen für KI-Tools und Cloud-Dienste wie AWS, Azure und GCP und exfiltriert Daten über HTTPS und DNS.
npm hat private Pakete kostenlos gemacht, einem Trend folgend, bei dem Plattformen Containerkosten auf null senken, um die Bindung zu erhalten. Dies ermöglicht die Monetarisierung auf der Intelligenzschicht (z. B. KI-Funktionen), ein Muster, das bei KI-APIs wie ChatGPT umgekehrt zu beobachten ist, die jetzt Funktionen um Benutzerdaten und Anpassung herum hinzufügen.
Ein NPM-Lieferkettenangriff umging die 2FA von GitHub, kompromittierte das Konto eines Entwicklers und veröffentlichte bösartige Pakete. Dies gefährdet das JavaScript-Ökosystem mit potenziellen Auswirkungen auf Tausende abhängiger Projekte und hebt Schwachstellen in der Sicherheit der Softwarelieferkette hervor.
Ein ausgeklügelter npm-Lieferkettenangriff betraf 42 TanStack-Pakete und veröffentlichte innerhalb von 6 Minuten 84 bösartige Versionen. Die Angreifer nutzten einen gefährlichen GitHub Actions-Trigger aus, ohne gestohlene Passwörter zu benötigen.
Dieser Inhalt bietet eine Kurzanleitung zur npm-Verteidigung in 30 Sekunden, speziell für Entwickler. Er liefert wesentliche Sicherheitstipps für Codierungsprojekte.