Mehr als 140 npm-Pakete in Mastra AI wurden von der nordkoreanischen Hackergruppe Sapphire Sleet kompromittiert, die damit Lieferketten als Angriffsfläche nutzt.
npm blockiert ab Version 12 standardmäßig automatische Paketinstallations-Skripte, eine Praktik, die Konkurrenten wie Yarn, pnpm und Bun bereits etabliert hatten.
Eine in Rust geschriebene Malware kompromittiert NPM-Pakete, stiehlt Entwickler-Credentials und nutzt diese zur Ausbreitung in der Software-Lieferkette.