Mehrere npm-Pakete von Supply-Chain-Angriff betroffen

Das IT-Sicherheitsunternehmen Socket veröffentlichte am 18. Juli 2025 zwei Warnmeldungen zu folgenden kompromittierten npm-Paketen:

• JavaScript-Paket is in den Versionen 3.31 und 5.0.0
• eslint-config-prettier in den Versionen 8.10.1, 9.1.1, 10.1.6 und 10.1.7
• eslint-plugin-prettier in den Versionen 4.2.2 und 4.2.3
• synckit in der Version 0.11.9
• @pkgr/core in der Version 0.2.8
• napi-postinstall in der Version 0.3.1
• got-fetch in den Versionen 5.1.11 und 5.1.12

Die npm-Paket-Versionen wurden laut Socket im Rahmen eines Phishing-Angriffs auf verschiedene npm-Entwickelnde manipuliert. Die kompromittierten Pakete sind mittlerweile nicht mehr verfügbar. 

Alle Nutzenden sollten dennoch umgehend die neusten bereinigten Paket-Versionen installieren und zudem ihre Systeme auf Kompromittierung prüfen. Socket stellt hierzu IoCs und Mitigationsmaßnahmen bereit. Diese finden Sie in den unten verlinkten Beiträgen auf socket.dev.

• Installieren Sie schnellstmöglich eine abgesicherte Version Ihres betroffenen nmp-Pakets.
• Prüfen Sie Ihre Systeme mit den verfügbaren IoCs.
• Prüfen Sie Logs und Installationen auf veränderte Versionen.
• Löschen Sie ggf. node_modules.
• Leeren Sie die npm-Caches.
• Sichern Sie die Zugänge bei npm durch Multi-Faktor-Authentifizierung (MFA).