npm 12 blockiert standardmäßig die automatische Ausführung von Installationsskripten, Git-Abhängigkeiten und externe URLs — erfordert künftig explizite Genehmigung für diese Vorgänge.
Eine Supply-Chain-Attacke auf Red-Hat-npm-Pakete nutzt Install-Time-Execution und Credential-Harvesting zur Infiltration von Developer- und CI/CD-Systemen mit selbstverbreitendem Malware.
Ein als OpenAI-Codex-Interface getarntes npm-Paket mit 29.000 wöchentlichen Downloads stiehlt Authentifizierungstoken und ermöglicht Angreifern, APIs unter gestohlenen Identitäten zu missbrauchen.
