npm 12 Disables Install Scripts by Default to Reduce Supply Chain Risk
npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. Dies betrifft alle Nutzer, da automatische Skriptausführungen nun eine explizite Zustimmung erfordern. Es wird empfohlen, die neuen Sicherheitseinstellungen zu beachten und Skripte nur bei Vertrauenswürdigkeit manuell zu aktivieren.
npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. Diese Änderung betrifft alle npm-Nutzer, da die automatische Skriptausführung nun eine explizite Zustimmung erfordert. Es wird empfohlen, die neuen Sicherheitseinstellungen zu beachten und Skripte nur bei Vertrauenswürdigkeit manuell zu aktivieren.
Alle npm-Nutzer, insbesondere solche, die auf Installationsskripte angewiesen sind. Die im Artikel genannte Branche ist 'Behörden'.
Diese Änderung reduziert das Risiko von Supply-Chain-Angriffen, bei denen bösartige Skripte während der Paketinstallation ausgeführt werden könnten. Organisationen müssen ihre Workflows anpassen, um sicherzustellen, dass legitime Skripte weiterhin funktionieren, während gleichzeitig die Sicherheit erhöht wird.
Ohne Anpassung könnten legitime Installationsskripte nicht ausgeführt werden, was zu Fehlern oder Funktionsstörungen in Entwicklungsumgebungen oder CI/CD-Pipelines führt. Das Risiko von Supply-Chain-Angriffen durch bösartige Installationsskripte wird jedoch standardmäßig reduziert.
Überprüfen Sie alle npm-Installationsprozesse und -Skripte, um sicherzustellen, dass sie mit der neuen Standardeinstellung von npm 12 kompatibel sind. Aktivieren Sie Installationsskripte nur explizit für vertrauenswürdige Pakete und Quellen.
- ▸Überprüfen Sie die npm-Versionen in Ihren Entwicklungsumgebungen und CI/CD-Pipelines, um festzustellen, ob npm 12 oder höher verwendet wird.
- ▸Testen Sie die Installation kritischer npm-Pakete in einer Umgebung mit npm 12, um sicherzustellen, dass alle erforderlichen Skripte korrekt ausgeführt werden oder explizit aktiviert wurden.
- ▸Auditieren Sie Ihre `package.json`-Dateien auf `preinstall`, `postinstall` oder andere Skripte, die von dieser Änderung betroffen sein könnten, und bewerten Sie deren Notwendigkeit und Vertrauenswürdigkeit.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Execution | T1203 Exploitation for Client Execution | Low | npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. |
| Defense Evasion | T1562 Impair Defenses | Low | npm 12 deaktiviert standardmäßig Installationsskripte, um Lieferkettenrisiken zu mindern. |
- Es wird nicht spezifiziert, welche spezifischen Arten von Supply-Chain-Angriffen durch diese Änderung primär verhindert werden sollen.
- Es werden keine konkreten Beispiele für bösartige Skripte oder Angriffe genannt, die in der Vergangenheit über Installationsskripte ausgeführt wurden.
- Es werden keine spezifischen Tools oder Konfigurationsschritte genannt, die zur expliziten Aktivierung von Skripten erforderlich sind.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?