Regelmäßige Überprüfung von npm-Account-Sicherheit
Schütze deinen npm-Account, da ein kompromittierter npm-Account zu Supply-Chain-Angriffen führen kann. Aktiviere 2FA und überwache ungewöhnliche Publishing-Aktivitäten.
Originalvideo ansehen: Millions of JS devs just got penetrated by a RAT…4 Schritte
1
Aktiviere Two-Factor Authentication (2FA)
Logge dich auf npm.com an und aktiviere 2FA in den Account-Einstellungen
Tipp: Nutze eine Authenticator-App wie Google Authenticator oder Authy
Warnung: Der Axios-Maintainer hätte dies haben sollte - es hätte den Angriff verhindert
2
Überprüfe aktive npm Access Tokens
Gehe zu npm.com > Settings > Access Tokens und überprüfe alle aktiven Tokens
npm token listTipp: Lösche Tokens, die du nicht erkennst
Warnung: Der Angreifer erlangte einen npm Access Token - überwache dies genau
3
Überwache Publishing-Aktivitäten
Überprüfe die Veröffentlichungshistorie deiner Pakete auf unerwartete Releases
npm view paketname timeTipp: Abonniere Benachrichtigungen für neuentdeckte Sicherheitsprobleme
Warnung: Unerwartete Releases sind ein Anzeichen für Kompromittierung
4
Verwende Granular Access Tokens
Erstelle Tokens mit minimalen erforderlichen Berechtigungen
npm token create --read-onlyTipp: Verschiedene Tokens für verschiedene Zwecke (CI/CD, lokale Entwicklung)
Warnung: Niemals Admin-Tokens in CI/CD-Umgebungen speichern