Im Frontend-Development bin ich nur noch sporadisch aktiv, weswegen ein großer Teil der npm-Ära an mir vorbei gezogen ist.
Trotzdem eine Kurzfassung, um was es geht: heutzutage werden auch JS- oder CSS-Module paketartig verwaltet, so richtig schön mit dependency (Abhängigkeiten) management, etc. Ein großes Ökosystem hierum ist npm und sein repository.
Das Problem: viele nutzen npm mit den Paketen und ihren mitunter tausenden Abhängigkeiten - niemand kann diese ernsthaft aber auch Sicherheit und Schadsoftware überprüfen.
Viele haben daher vor möglichen Sicherheitsgefahren gewarnt. Heute wurden sie "bewiesen":
Es geht um das Paket event-stream (MIT-lizenziert), dessen Entwickler das Paket an einen Maintainer übergeben hat, der nun eine Abhängigkeit eingeschleust hat, die in ihrer minified version es darauf absieht, Bitcoin-Wallet-Nutzern ihre privaten Schlüssel zu klauen.
Das Problem mit gefährlichen Abhängigkeiten besteht seit langer Zeit und NPM ist ein lukratives Ziel hierfür. Wer event-stream nutzt (und das sind so einige Projekte), sollte sein npm samt der Abhängigkeiten checken.
Hier die GitHub-Diskussion, die mittlerweile 1000+ Posts hat: https://github.com/dominictarr/event-stream/issues/116
