Alle 🤖 Modelle 📦 Open Source ⚖️ Regulierung 🤝 Agenten 🔧 Hardware 🏥 In der Praxis 💬 Community 🛡️ Sicherheit ✨ Interessantes
🟡 🛡️ Sicherheit Veröffentlicht: · 2 Min. Lesezeit ·

GitHub: npm führt 72-stündigen Präventivschutz für Konten mit hoher Reichweite ein

Editorial illustration: npm logo mit Zeitfenster-Schutz und Sicherheitsschild, ohne Gesichter und Text

GitHub npm schützt Konten mit hoher Reichweite nun 72 Stunden lang im Read-Only-Modus bei sensiblen Änderungen — Token-Ausstellung und Paketveröffentlichung werden blockiert, um Supply-Chain-Angriffe auf das Open-Source-Ökosystem zu verhindern.

🤖

Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.

Was ist ein Supply-Chain-Angriff und warum npm?

Ein Supply-Chain-Angriff — bei dem ein Angreifer ein beliebtes Open-Source-Paket kompromittiert und Schadcode einschleust, der sich automatisch auf Millionen von Projekten verbreitet — ist eine der gefährlichsten Bedrohungen für die moderne Softwareentwicklung. npm (Node Package Manager) mit über 2,5 Millionen Paketen ist ein besonders attraktives Ziel: Die Kompromittierung eines einzigen beliebten Pakets kann gleichzeitig Tausende von Anwendungen weltweit gefährden. Bisher gab es kein Schutzfenster zwischen dem Zeitpunkt eines Zugriffsdiebstahls und der Veröffentlichung eines Schadpakets.

Neue Maßnahme: 72-stündiger Read-Only-Schutz

GitHub hat am 25. Juni 2026 bekanntgegeben, dass npm ab sofort einen 72-stündigen Read-Only-Schutz für Konten mit hoher Reichweite — solche, deren Pakete eine außergewöhnlich hohe Downloadrate und große Verbreitung im Ökosystem haben — automatisch verhängt. Der Schutz wird bei zwei sensiblen Aktionen ausgelöst: einer Änderung der E-Mail-Adresse oder der Änderung des 2FA-Wiederherstellungscodes. Genau diese beiden Punkte sind klassische Ziele von Angreifern, die fremde Konten übernehmen wollen.

Was wird im Schutzfenster blockiert?

Während der 72 Stunden kann das Konto nicht:

  • neue API-Token ausstellen (minten), die für automatische Veröffentlichungen genutzt werden könnten
  • Pakete oder neue Versionen bestehender Pakete veröffentlichen

Der rechtmäßige Kontoinhaber erhält eine Benachrichtigung und hat ausreichend Zeit zu reagieren — ob die Änderung geplant war oder das Ergebnis eines Zugriffdiebstahls ist. Erst nach Ablauf des Fensters ohne weitere Sicherheitssignale wird der Zugang wieder in den Normalbetrieb versetzt.

Vergleich mit dem bisherigen Stand

Bisher konnte ein Angreifer, dem es gelungen war, ein npm-Konto zu übernehmen, sofort ein Schadpaket veröffentlichen — ohne jede Verzögerung oder Warnung an die Community. Jetzt gibt es eine strukturelle Hürde, die 72 Stunden Zeit für Entdeckung und Schadensbegrenzung bietet, selbst wenn der Angreifer gültige Anmeldedaten besitzt. Das ist ein qualitativer Wandel in der Supply-Chain-Verteidigung: von reaktiv (Entfernung des Schadpakets nach Veröffentlichung) zu präventiv (Blockierung der Veröffentlichung, bis die Kontointegrität geprüft ist).

Häufig gestellte Fragen

Was ist ein Supply-Chain-Angriff auf npm?
Ein Supply-Chain-Angriff liegt vor, wenn ein Angreifer die Kontrolle über ein beliebtes Open-Source-Paket übernimmt und Schadcode einschleust, der sich automatisch auf alle Projekte verbreitet, die dieses Paket verwenden.
Welche Aktionen lösen den 72-stündigen Schutz aus?
Der Schutz wird bei einer Änderung der E-Mail-Adresse oder des 2FA-Wiederherstellungscodes ausgelöst — den zwei wichtigsten Angriffspunkten, die Angreifer nutzen, um Konten zu übernehmen.

Quellen

Teilen: 𝕏 X in LinkedIn f Facebook

Verwandte Nachrichten

🟡 2026-06-26

arXiv:2606.26057: The Unfireable Safety Kernel — externes Ausführungs-Alignment für KI-Agenten
🟡 2026-06-25

Google DeepMind: AI Control Roadmap — Defense-in-Depth für die Sicherheit von KI-Agenten
🟡 2026-06-25

GitHub: Self-Service-Widerruf von Zugangsdaten — Break-Glass für Incident Response
← Zurück zur Startseite