npm’s Update to Harden Their Supply Chain, and Points to Consider

**Zusammenfassung:** npm hat im Dezember 2025 als Reaktion auf den Sha1-Hulud-Vorfall eine umfassende Authentifizierungs-Überholung abgeschlossen, um Supply-Chain-Angriffe zu reduzieren. Obwohl diese Änderungen ein wichtiger Fortschritt sind, machen sie npm-Projekte nicht immun gegen Supply-Chain-Attacken. npm bleibt weiterhin anfällig für Malware-Angriffe. **Wer ist betroffen:** Alle Entwickler und Unternehmen, die npm-Pakete verwenden (praktisch die gesamte Node.js-Community). **Was sollte man tun:** Weiterhin wachsam bleiben, da die Sicherheitsverbesserungen keinen vollständigen Schutz bieten - zusätzliche Sicherheitsmaßnahmen beim Umgang mit npm-Paketen sind nach wie vor erforderlich.