Auf den Punkt: npm blockiert ab Version 12 standardmäßig automatische Paketinstallations-Skripte, eine Praktik, die Konkurrenten wie Yarn, pnpm und Bun bereits etabliert hatten.
GitHub ändert in npm Version 12 (Juli-Release) die Standardeinstellung für automatische Script-Ausführung: Pre- und Postinstall-Skripte werden künftig nur noch auf explizite Aktivierung hin ausgeführt. Dies soll eine häufig genutzte Angriffsfläche für Supply-Chain-Attacken verringern, schließt sie aber nicht aus.
Mit npm V12 wird die Einstellung „allowScripts“ auf „off“ gesetzt. Das bedeutet konkret: npm install wird keine preinstall-, install- oder postinstall-Skripte von Abhängigkeiten mehr automatisch ausführen, solange diese nicht explizit im Projekt aktiviert sind. Betroffen sind auch implizite node-gyp-Builds, die durch eine binding.gyp-Datei ausgelöst werden. Prepare-Skripte aus Git-, File- und Link-Abhängigkeiten werden ebenfalls blockiert.
Security-Analysten und Entwickler begrüßen die Änderung grundsätzlich, weisen aber darauf hin, dass sie nur einen Angriffsvektor eliminiert. Sonu Kapoor, Maintainer des CVE Lite CLI im OWASP Incubator Project, betont: Die Änderung entfernt einen großen automatischen Ausführungspfad, schließt aber andere Angriffsrouten nicht aus – von bösartigem Code zur Laufzeit über compromittierte Maintainer-Accounts bis hin zu Dependency Confusion und manipulierten GitHub-Actions-Workflows. Alan Parkinson, Director des Sicherheitsunternehmens Threat Detective, ergänzt, dass versierte Angreifer diese Lücke längst verlassen haben und zum Einsatz der automatischen Script-Ausführung vornehmlich weniger sophistizierte Bedrohungsakteure greifen.
GitHub-Ingenieur Zach Steindler begründet die Änderung mit dem Volumen und Tempo von Supply-Chain-Attacken: Sicherheitsforschung zeige, dass sichere Standardeinstellungen nötig sind, damit sie breit adoptiert werden. Das Prinzip ist nicht neu – Yarn, pnpm und Bun blockieren Drittanbieter-Installationsskripte bereits standardmäßig. Npm folgt somit einem etablierten Standard nach, den Konkurrenten teilweise Jahre früher implementiert haben.
Quelle: www.csoonline.com · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.