Zum Inhalt springen

NPM v12 blockiert Installationsskripte – Kritik an unzureichendem Schutz

Auf den Punkt: NPM v12 blockiert zwar automatische Installationsskripte, schützt aber nicht vor Kontenübernahmen, über die Angreifer Schadcode direkt als vertrauenswürdige Releases einschleusen können.

Der JavaScript-Paketmanager NPM erhält im Juli 2026 mit Version 12 erweiterte Sicherheitsmaßnahmen, die Installationsskripte und externe Git-Abhängigkeiten standardmäßig blockieren. Sicherheitsexperten kritisieren jedoch, dass fundamentale Risiken wie Kontenübernahmen ungelöst bleiben.

Die wichtigsten Änderungen in NPM v12 betreffen zwei zentrale Angriffsvektoren der Software-Lieferkette: Ab Juli 2026 werden Vorinstallations-, Installations- und Nachinstallationsskripte bei npm install standardmäßig blockiert und erfordern explizite Genehmigung durch den Entwickler. Gleichzeitig werden Git-Abhängigkeiten – also das Herunterladen von Code aus externen Quellen wie GitHub – ohne ausdrückliche Erlaubnis unterbunden. Seit November 2025 (Version 11.16.0) erhalten Entwickler bereits Warnmeldungen, um sich auf diese Änderungen vorzubereiten.

Analysten des Sicherheitsunternehmens OX Security weisen jedoch darauf hin, dass diese Maßnahmen die fundamentalsten Risiken nicht adressieren. Dem Sicherheitsforscher Moshe Siman Tov Bustan zufolge bleibt die Übernahme von Maintainer-Konten eine kritische Schwachstelle: Sobald ein Angreifer die Anmeldedaten eines legitimen Paket-Entwicklers kontrolliert, kann er Schadcode als vertrauenswürdiges, signiertes Release verteilen – die Blockierung von Installationsskripten hilft dann nicht. Ebenso können kompromittierte Module Schadcode direkt bei der Ausführung (via require() oder import) einschleusen, ohne dass Installationsskripte oder Benutzerbestätigungen nötig sind.

Ein zusätzliches Risiko sehen die Forscher in nativen Builds: Pakete mit C-Code, die über node-gyp kompiliert werden, können ebenfalls als Angriffsvektor missbraucht werden. OX Security fordert daher, dass NPM bösartigen Code bereits beim Hochladen von Paketen erkennen und blockieren sollte – vergleichbar mit der Moderation auf Social-Media-Plattformen. Da NPM von GitHub (Mutterunternehmen Microsoft) betrieben wird, sieht die Sicherheitsfirma die Verantwortung beim Konzern.

Die Anpassungen folgen auf mehrere Vorfälle in jüngster Zeit: Im März 2026 kapert ein Angreifer das Konto eines Hauptentwicklers der JavaScript-Bibliothek Axios (über 100 Millionen Downloads pro Woche) zur Verbreitung von Malware. Zwei Monate später werden weitere hochfrequentierte Pakete über kompromittierte Accounts gefährdet.


Quelle: www.it-daily.net · Erschienen 2. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.

Share on: