Schaedliches npm-Paket
Was ist Schaedliches npm-Paket?
Schaedliches npm-Paketnpm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
Ein boesartiges npm-Paket missbraucht das Vertrauen, das JavaScript-Entwickler in die oeffentliche npm-Registry setzen. Angreifer veroeffentlichen neue Pakete, uebernehmen verlassene Projekte oder kompromittieren Maintainer-Konten, um manipulierte Versionen weit verbreiteter Bibliotheken auszuliefern. Typische Nutzlasten: Credential- und Token-Stealer, Crypto-Wallet-Drainers, Dropper, die per npm-Lifecycle-Skript schon bei der Installation laufen. Bekannte Faelle: event-stream (2018), wo ein neuer Maintainer einen Copay-Wallet-Dieb einschleuste, und ua-parser-js (2021), dessen kompromittierte Versionen Miner und Passwortdiebe auf Millionen Rechnern installierten. Schutz: Lockfiles, --ignore-scripts, 2FA fuer Maintainer, SBOMs, Dependency-Scanner und Provenance-Attestationen.
● Beispiele
- 01
event-stream 2018: ein neuer Maintainer fuegt flatmap-stream hinzu, um Copay-Wallets zu plundern.
- 02
ua-parser-js 2021: gekaperte Versionen installierten einen Crypto-Miner und einen Passwortdieb.
● Häufige Fragen
Was ist Schaedliches npm-Paket?
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Schaedliches npm-Paket?
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
Wie schützt man sich gegen Schaedliches npm-Paket?
Schutzmaßnahmen gegen Schaedliches npm-Paket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Schaedliches npm-Paket?
Übliche alternative Bezeichnungen: Manipuliertes Paket, Boesartiger npm-Release.