torsdag 16. juli 2026
N yhetsfeed Meny

Sikkerhet

npm-angrep: kaprede AsyncAPI-pakker kjører skadekode ved import

Microsoft Threat Intelligence avdekket 14. juli en koordinert forsyningskjede-kompromittering av @asyncapi-organisasjonen på npm, der fem pakkeversjoner ble republisert med samme skadelige loader. Fordi @asyncapi/specs er en transitiv avhengighet, rammes utviklermaskiner, CI/CD-pipelines og produksjonstjenester som importerte pakkene i eksponeringsvinduet. Koden kjører ved import – ikke via postinstall – så «npm install --ignore-scripts» stopper den ikke.

Foto: Microsoft Security Blog
Kortversjonen

Microsoft Threat Intelligence avdekket 14. juli en koordinert forsyningskjede-kompromittering av @asyncapi-organisasjonen på npm, der fem pakkeversjoner ble republisert med samme skadelige loader. Fordi @asyncapi/specs er en transitiv avhengighet, rammes utviklermaskiner, CI/CD-pipelines og produksjonstjenester som importerte pakkene i eksponeringsvinduet. Koden kjører ved import – ikke via postinstall – så «npm install --ignore-scripts» stopper den ikke.

Original tittel: Unpacking the AsyncAPI npm supply chain compromise and import-time payload delivery

#npm#supply-chain#asyncapi#miasma