Sicherheit14. Mai 2026·11 Min. Lesezeit
Mini Shai-Hulud: Der npm-Angriff, der alle Best Practices umging
Drei kleine Fehlkonfigurationen führten zu 84 bösartigen Paketversionen. Die Angreifer veröffentlichten sie über die eigene Pipeline des Maintainers, signierten sie mit gültiger Provenienz. Kein Vertrauenssignal des JavaScript-Ökosystems schlug Alarm.