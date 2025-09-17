Der Software-Ingenieur Daniel Pereira hat die Software-Community vor einer grossen Supply-Chain-Infektion gewarnt, die sich via npmjs.com , einer sehr grossen Javascript-Registry auf Github, ausbreitet. Laut Pereira war zunächst das beliebte Paket @ctrl/tinycolor npm mit einer Malware kompromittiert worden. Er warnte alle, dieses Paket nicht zu installieren. Allerdings enthält die Malware einen Mechanismus, um sich selbst fortzupflanzen und andere Pakete zu infizieren, und so war es schon zu spät, um die Ausbreitung schnell einzudämmen.

Wie Pereira erklärt, hatte er zunächst 24 Stunden lang versucht, die Verantwortlichen bei Github zu kontaktieren, bevor er die Öffentlichkeit warnte. Die Github-Leute zu erreichen, sei aber schlicht zu schwierig gewesen.

Das Security-Unternehmen Socket begann nach der Warnung, die Lage zu analysieren, und fand zunächst 40 kompromittierte Pakete. Mittlerweile wurden bereits 187 identifiziert.