Inhaltsverzeichnis
Gestern hatte ich das Thema erst kurz in meinem Editorial angeschnitten, nun hat Microsoft auf X die nächste dicke Angriffswelle auf seinen für Node.js zuständigen Paketmanager NPM und seine Entwicklerplattform GitHub bestätigt. Das berichten die Kollegen von Golem. Die aktuellen Attacken werden Mini-Shai-Hulud der bekannten Hackergruppe TeamPCP zugeordnet und betreffen wieder hunderte Pakete auf NPM, die Ausleitung erfolgt über GitHub. Wieder sind es gefährliche Supply-Chain-Angriffe.
Vereinzelt sind auch Pakete im Paketmanager PyPI für Python und Composer für PHP betroffen, die Mehrzahl richtet sich mit gro0em Abstand aber direkt gegen Microsoft und seine beiden Produkte. Insgesamt erreichen die Pakete mehr als 16 Millionen Downloads pro Woche und decken Basisaufgaben wie Diagramme und Grafikvisualisierung ebenso ab wie einzelne Komponenten für React oder JavaScript im Allgemeinen.
Besagte Angriffsvektoren bei NPM und GitHub bekommen die Redmonder schon seit etlichen Monaten nicht unter Kontrolle, im Editorial hatte ich das ja schon bis September 2025 zurückverzeichnet. Das ist insofern ein riesiges Problem, weil Supply-Chain-Angriffe auf NPM-Pakete potenziell sehr schnell in zahlreichen großen Desktop-Apps landen können, die auf React Native oder Electron aufbauen. Das wären dann Größen wie WhatsApp, Spotify, Visual Studio Code, GitHub Desktop, Slack, Notion, Signal, EA App, Claude Desktop oder Microsoft Teams, um nur einige zu nennen.
Andere Paketmanager für Node.js und JavaScript, darunter Yarn oder PNPM, haben solche Schlagzeilen bisher nicht gemacht, auf Microsoft haben sich die bösen Jungs aber regelrecht eingeschossen. Bleibt zu hoffen, dass Microsoft diese Sachen endlich an die kurze Leine bekommt. Normale Nutzer können sich am Besten schützen, indem sie zum Beispiel die Nutzung von Apps auf Electron- oder React Native-Basis zumindest reduzieren.
DrWindows News per WhatsApp: Abonniere unseren Kanal.
Über den Autor
Kevin Kozuszek
Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und Microsoft Edge zu berichten hat. Beiträge über Mozilla, Europas Digitalwirtschaft und inklusive Informatik runden meinen Bereich ab.
Wenn Ihnen der Artikel gefallen hat, vergessen Sie nicht, ihn mit Ihren Freunden zu teilen. Folgen Sie uns auch in Google News, klicken Sie auf den Stern und wählen Sie uns aus Ihren Favoriten aus.
Wenn Sie weitere Nachrichten lesen möchten, können Sie unsere Technologie kategorie besuchen.
