Schutz vor Lieferkettenangriffen

Härtere Sicherheitsregeln: GitHub baut npm-Paketmanager um

npm
LinkedInRedditWhatsApp

Der Paketmanager npm führt mit Version 12 strengere Standardeinstellungen ein. Automatische Installationsskripte benötigen künftig eine explizite Erlaubnis.

GitHub hat tiefgreifende Sicherheitsänderungen für die kommende Version 12 des JavaScript-Paketmanagers npm angekündigt. Das Update soll im Juli 2026 erscheinen und zielt darauf ab, Lieferkettenangriffe über den weit verbreiteten Installationsbefehl npm install zu unterbinden. Bislang wurden beim Herunterladen von Projektabhängigkeiten vordefinierte Installationsskripte automatisch und ohne zusätzliche Überprüfung auf den Rechnern von Softwareentwicklern oder in automatisierten Build-Systemen ausgeführt. Angreifer nutzten diesen Mechanismus in der Vergangenheit regelmäßig aus, um Schadcode einzuschleusen. Ab Version 12 blockiert npm diese automatische Codeausführung standardmäßig.

Anzeige

Drei zentralen Sicherheitsänderungen bei npm

Die neuen Standardeinstellungen betreffen drei wesentliche Bereiche des Paketmanagements, die künftig eine ausdrückliche Genehmigung der Anwender erfordern:

  • Installationsskripte: Die Befehle preinstall, install und postinstall von externen Abhängigkeiten werden nicht mehr automatisch ausgeführt. Dies gilt auch für native Modul-Builds über node-gyp sowie für Vorbereitungsskripte aus Git-Verzeichnissen oder lokalen Verknüpfungen.
  • Git-Abhängigkeiten: Der Befehl npm install lädt keine Abhängigkeiten mehr direkt oder indirekt aus Git-Repositories herunter. GitHub begründet dies mit der Gefahr, dass manipulierte Konfigurationsdateien in Git-Paketen die genutzte Git-Ausführungsdatei auf dem System verändern könnten.
  • Externe URLs: Pakete, die über remote URLs wie HTTPS-Tarballs eingebunden sind, werden standardmäßig nicht mehr aufgelöst.

Vorbereitung für Entwickler und betroffene Kampagnen

Diese Maßnahmen hätten laut GitHub mehrere Schadsoftware-Kampagnen der jüngeren Vergangenheit blockiert. Dazu gehören Angriffe auf eslint-config-prettier, die Picasso-Pakete von Toptal sowie die weitreichenden Shai-Hulud-Lieferkettenangriffe, bei denen Git-Abhängigkeiten missbraucht wurden.

Projekte, die für legitime Arbeitsabläufe auf die bisherigen Automatismen angewiesen sind, müssen diese vor dem Wechsel auf die neue Version manuell aktivieren. Um Entwicklern den Übergang zu erleichtern, empfiehlt GitHub eine zeitnahe Aktualisierung auf die Version npm 11.16.0 oder neuer. Diese Versionen geben bereits detaillierte Warnmeldungen aus, wenn ein aktuelles Projekt Workflows nutzt, die unter npm 12 eine explizite Zustimmung erfordern werden.

Anzeige

(red)


Anzeige
Microsoft, microsoft 365 mfa, microsoft 365 sicherheit, microsoft 365 mfa umgehen, Microsoft 365, MFA
16. Juni 2026
Ein Klick genügt: Datenleck in Microsoft 365 Copilot entdeckt
KI
16. Juni 2026
Das Problem ist nicht die KI
npm
16. Juni 2026
Rust-Malware IronWorm infiziert 36 npm-Pakete
Ransomware
16. Juni 2026
Ransomware-Aktivität erreicht im Mai neuen Höchststand

Weitere Artikel

Rust-Malware IronWorm infiziert 36 npm-Pakete
Wer schreibt Politikerreden – KI oder Mensch?
Boom der sozialen Medien erschüttert Nachrichtenvertrauen nicht
Fehler eingeräumt: Mark Zuckerberg bedauert Meta-Umbau
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.