npm-Versionen 3.3.1 und 5.0.0 mit Schadcode verseucht

gosia · 25. Juli 2025, 15:34:04

Böse Buben haben mit einem Supply-Chain-Angriff die Kontrolle über die Java-Testing-Library is erlangt und so den Account eines Projektverantwortlichen gekapert. Dabei ist es ihnen gelungen Schadcode in npm, den Paketmanager für Node Javascript Plattformen, einzubauen. Betroffen sind die npm-Versionen 3.3.1 und 5.0.0.
Die Version 3.3.2 ist inzwischen wieder in Ordnung und kann runtergeladen werden.
Genaueres über den Schadcode, der per Remote Shell angreift und das restliche Drumherum siehe hier
Beliebtes JavaScript-Paket is: Malware durch Supply-Chain-Angriff

npm-Versionen 3.3.1 und 5.0.0 mit Schadcode verseucht

gosia