Empfohlener redaktioneller Inhalt<\/p>\n
\n Mit Ihrer Zustimmung wird hier ein externer Inhalt geladen.\n <\/p>\n
Externen Inhalt jetzt laden\n <\/p>\n
Beide Versionen waren offenbar nur wenige Stunden im Umlauf. Inzwischen ist auf der npm-Seite die Version 3.3.2 verf\u00fcgbar<\/a>, die keinen Schadcode erh\u00e4lt. Als \u00dcbergang hatte Harband die neueren Releases f\u00fcr deprecated erkl\u00e4rt und 3.3.0 als letzte aktive Version markiert, damit Prozesse, die automatisch die j\u00fcngste Version eines JavaScript-Pakets von npm anfordern, nicht weiter den Schadcode herunterladen.<\/p>\n Bei is handelt es sich um eine Testing-Library, die unter anderem \u00fcberpr\u00fcft, ob ein Wert definiert (is.defined), leer (is.empty) oder von einem bestimmten Typ (generell \u00fcber is.type(value, type) oder speziell als is.integer, is.bool, is.array etc.) ist.<\/p>\n \n (Bild:\u00a0Alexander Supertramp\/Shutterstock.com)\n <\/p>\n Neun von zehn Webanwendungen haben Sicherheitsl\u00fccken \u2013 h\u00f6chste Zeit f\u00fcr Web Developer, zu handeln. Auf dem ersten enterJS Web Security Day<\/a> am 9. Oktober 2025 geht es um automatisierte Sicherheitspr\u00fcfungen, den Einsatz von Passkeys und den Schutz vor KI-basierten Angriffen.<\/p>\n Plattform\u00fcbergreifender Malware-Loader an Bord<\/p>\n Offenbar war dieselbe Angreifergruppe erfolgreich, die mit einer Phishing-Attacke<\/a> zuvor zahlreiche npm-Maintainer getroffen und bereits die Pakete eslint\u2011config\u2011prettier, eslint\u2011plugin\u2011prettier, synckit@0.11.9, @pkgr\/core, napi\u2011postinstall und got-fetch mit Schadcode versehen hatte.<\/p>\n Der Angriff auf die anderen Pakete zielte mit einer DLL nur auf Windows. Ein Blogartikel auf Invoke RE<\/a> beschreibt die in dem Paket eslint\u2011config\u2011prettier gefundene Scavenger-Malware genauer.<\/p>\n Der Malware-Loader im is-Paket schl\u00e4gt dagegen plattform\u00fcbergreifend unter Windows, macOS und Linux zu.<\/p>\n Versteckter Schadcode mit Remote Shell<\/p>\n<\/p>\n