Auf den Punkt: npm 12 blockiert standardmäßig die automatische Ausführung von Installationsskripten, Git-Abhängigkeiten und externe URLs — erfordert künftig explizite Genehmigung für diese Vorgänge.
GitHub kündigt für Version 12 des Paketmanagers npm (Erscheinung Juli 2026) strengere Standardeinstellungen an, die automatische Codeausführung beim npm install blockieren. Die Änderung zielt darauf ab, Supply-Chain-Angriffe über vorinstallierte Skripte zu verhindern.
Die neuen Standardeinstellungen in npm 12 betreffen drei zentrale Bereiche: Installationsskripte (preinstall, install, postinstall) aus externen Abhängigkeiten werden nicht mehr automatisch ausgeführt — auch nicht für native Modul-Builds via node-gyp oder für Skripte aus Git-Verzeichnissen und lokalen Verknüpfungen. Git-Abhängigkeiten werden von npm install nicht mehr direkt oder indirekt aus Git-Repositories geladen. Pakete über externe URLs wie HTTPS-Tarballs werden standardmäßig nicht mehr aufgelöst.
Bislang nutzten Angreifer den automatischen Mechanismus regelmäßig aus, um Schadcode während des Installationsvorgangs auf Entwickler-Rechnern oder in Build-Systemen einzuschleusen. GitHub zufolge hätten die neuen Einstellungen mehrere dokumentierte Malware-Kampagnen blockiert — etwa Angriffe auf eslint-config-prettier, die Picasso-Pakete von Toptal und die Shai-Hulud-Supply-Chain-Angriffe, die Git-Abhängigkeiten missbrauchten.
Für Projekte mit legitimen Workflows, die auf die bisherige Automatik angewiesen sind, müssen die geblockerten Funktionen vor dem Wechsel zu npm 12 manuell reaktiviert werden. GitHub empfiehlt eine zeitnahe Migration auf npm 11.16.0 oder neuer, da diese Versionen bereits detaillierte Warnmeldungen ausgeben, wenn ein Projekt Workflows nutzt, die unter npm 12 eine explizite Genehmigung benötigen.
Quelle: www.it-daily.net · Erschienen 14. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.