Auf den Punkt: npm 12 macht die Ausführung von Install-Skripten zum Opt-in statt Opt-out und schließt damit eine Supply-Chain-Angriffsfläche.
GitHub hat npm Version 12 veröffentlicht und deaktiviert automatisch ausführbare Install-Skripte standardmäßig. Parallel wird die Möglichkeit eingestellt, mit granularen Zugriffstokens die Zwei-Faktor-Authentifizierung zu umgehen.
GitHub (Microsoft) hat npm in Version 12 ein neues Sicherheitsmodell für die Paketinstallation eingeführt. Das zentrale Änderung: Die Einstellung allowScripts ist nun standardmäßig ausgeschaltet. Das bedeutet, dass Installations-, Postinstall- und Postuninstall-Skripte, die zuvor automatisch beim Paketbezug ausgeführt wurden, jetzt nur noch explizit freigegeben werden müssen.
Diese Maßnahme zielt direkt auf eine etablierte Angriffsfläche in JavaScript-Abhängigkeitsketten. Malware-Autoren nutzen solche automatischen Skripte regelmäßig, um bösartigen Code auszuführen — beispielsweise zur Datenexfiltration oder für Kryptomining. Indem npm die automatische Ausführung unterbindet, zwingt es Entwicklerinnen und Entwickler, jede Skriptausführung bewusst zu genehmigen oder Abhängigkeiten erneut zu prüfen, bevor sie laufen gelassen werden.
Parallel stellt GitHub granulare Zugriffstokens (Granular Access Tokens, GATs) ein. Diese waren bislang ein Umweg, um Zwei-Faktor-Authentifizierung zu umgehen — ein bekannter Vektor für Account-Takeovers und böswillige Paketveröffentlichungen. Mit dieser Abschaffung verstärkt GitHub die Durchsetzung von 2FA auf privilegierte Operationen.
Für CTOs bedeutet dies konkret: Entwicklungs- und CI/CD-Pipelines müssen angepasst werden, wenn sie auf automatische Skriptausführung angewiesen sind. Gleichzeitig sinkt das Risiko von Supply-Chain-Angriffen auf npm-Pakete erheblich — ein Punkt, der auch in der NIS-2-Richtlinie zur Supply-Chain-Sicherheit relevant ist.
Quelle: thehackernews.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.