Auf den Punkt: npm 12 deaktiviert Install-Skripte per Default, um die Ausnutzung von Lifecycle Hooks für Supply-Chain-Angriffe zu erschweren.
GitHub plant in npm 12 eine Sicherheitsänderung: Installationsskripte werden künftig standardmäßig deaktiviert. Damit sollen Angriffe über Lifecycle Hooks bei „npm install" unterbunden werden, die derzeit noch automatisch ausgelöst werden.
GitHub hat eine Reihe von „Breaking Changes“ für npm Version 12 angekündigt, darunter die standardmäßige Deaktivierung von Install-Skripten. Diese Maßnahme zielt darauf ab, Angriffstechniken zu unterbinden, die den Befehl „npm install“ missbrauchen, um über npm-Lifecycle-Hooks die Ausführung von Schadcode zu triggern.
Der Befehl „npm install“ wird verwendet, um alle notwendigen Abhängigkeiten eines Projekts automatisch herunterzuladen und zu installieren. Derzeit können in Package-Dateien definierte Lifecycle Hooks wie „postinstall“ oder „preinstall“ dabei ohne explizite Nutzerintention ausgeführt werden — ein Angriffspunkt, den Threat Actors gezielt ausnutzen, um Malware in Dependency-Ketten einzuschleusen.
Für CTOs bedeutet diese Änderung eine verringerte automatische Ausführung von möglicherweise gefährlichem Code in der Supply Chain. Allerdings erfordert die Deaktivierung von Install-Skripten auch Anpassungen in CI/CD-Pipelines und Build-Prozessen, da legitimale Post-Install-Schritte (etwa zum Kompilieren von nativen Modulen) künftig explizit konfiguriert werden müssen. Die genauen Migrationspfade und Opt-in-Mechanismen in npm 12 sind für die Planung von Upgrade-Szenarien relevant.
Quelle: thehackernews.com · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.