← Zurück zum Sicherheitsblog
Security Briefing 7 Min. Lesezeit

Neuer Supply-Chain-Angriff auf npm-Ökosystem — 15 bösartige Pakete entdeckt

Sicherheitsforscher entdecken 15 bösartige npm-Pakete mit über 47.000 wöchentlichen Downloads. Die Pakete stehlen Zugangsdaten und schleusen Backdoors ein.


Angriffsübersicht

Socket Security-Forscher haben 15 bösartige Pakete in der npm-Registry identifiziert, die zusammen über 47.000 wöchentliche Downloads hatten. Die Pakete nutzten Typosquatting und Dependency Confusion.

⚠️ Sofortiges Handeln erforderlich

Prüfen Sie Ihre package.json und package-lock.json auf die betroffenen Pakete. Rotieren Sie alle Zugangsdaten bei Fund.


Identifizierte bösartige Pakete

Unter den 15 Paketen finden sich Typosquatting-Varianten von axios, react-dom, lodash, express-session, dotenv und webpack-dev-server.

Sofortmaßnahmen

  1. Dependencies prüfen: npm audit ausführen
  2. Lock-Dateien: package-lock.json immer committen
  3. Scoped Packages nutzen: Interne Pakete nur unter eigenem Scope erlauben
  4. Zugangsdaten rotieren: Bei Fund sofort ALLE Secrets rotieren

Schützen Sie Ihr Unternehmen mit Kensai

AI-powered vulnerability management with 331,910+ CVEs indexed.

Kostenlos testen

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Sicherheitsteam

🛡️ Schützen Sie Ihr Unternehmen

Kostenloser Sicherheitsscan Ihrer Website in 60 Sekunden

Kostenloser Sicherheitsscan →
📚 Mehr Artikel 🏠 Startseite