NERDMAN🚨 KI-CRIME
Hacker kapern npm-Paket, klauen Credentials
Supply-Chain-Angriff auf npm: Unbekannte haben frische Versionen von `node-ipc` mit Schadcode vergiftet. Wer aktualisiert, gibt seine Zugangsdaten ab.
Supply-Chain-Angriff auf npm: Unbekannte haben frische Versionen von `node-ipc` mit Schadcode vergiftet. Wer aktualisiert, gibt seine Zugangsdaten ab.
Was konkret passiert ist
Angreifer haben neue Versionen des beliebten npm-Pakets `node-ipc` veröffentlicht. Versteckt drin: Malware, die Credentials aus dem Dev-Rechner zieht. Jeder, der die Updates blind installiert, ist betroffen.
- Paket:** node-ipc (Inter-Process Communication)
- Angriffstyp:** Supply-Chain-Kompromittierung
- Payload:** Credential-Stealer
- Verbreitung:** über offizielle npm-Registry
💡 Was das bedeutet
Wenn du Node.js entwickelst, ist `node-ipc` wahrscheinlich irgendwo in deinem Dependency-Tree — direkt oder als Sub-Dependency. Ein blindes `npm install` reicht, um SSH-Keys, Tokens und Passwörter zu verlieren. Lock-Files prüfen. Sofort.
Sofort tun
- Versionen pinnen** und nicht auf `^` oder `~` vertrauen
- Dependency-Tree scannen** mit `npm audit` und `npm ls node-ipc`
- Secrets rotieren**, wenn du in den letzten Tagen aktualisiert hast
- CI/CD prüfen** — automatische Builds installieren am liebsten Schadcode
🤖 NERDMAN-URTEIL
npm bleibt der bequemste Angriffsvektor der Welt — und Entwickler installieren weiter blind, was ihnen die Registry vorsetzt.
Quelle: BleepingComputer
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
