Security-Spezialisten haben einen Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript -Laufzeitumgebung Node.js entdeckt. Erwiesenermassen betroffen sind beliebte Pakete des Open-Source-Entwicklers Qix, darunter chalk, strip-ansi, color-convert und color-name. Insgesamt werden diese Pakete wöchentlich mehr als zwei Milliarden Mal heruntergeladen. Möglicherweise könnten aber auch Pakete anderer Entwickler betroffen sein.

Der oder die Angreifer konnten durch Spearphishing in das npm-Konto (Node Packet Manager) von qix eindringen und so die dort gespeicherten Pakete verändern. Die Veränderungen scheinen hauptsächlich darauf abzuzielen, Kryptowährungen von den PCs der Personen zu entwenden, die die Pakete herunterladen.