Driver du en webbyrå, byggde du själv ditt bokningssystem eller har du en utvecklare som sköter företagets sajt? Då har du nästan garanterat npm-paket i din kodbas, och då berör den här förändringen dig. Från juli 2026 stänger GitHub den vanligaste vägen in för angripare i npm-ekosystemet: installationsskript från beroenden kommer inte längre att köras automatiskt när du installerar ett paket.
Det låter tekniskt. I praktiken handlar det om något ganska enkelt, vem som får köra kod på din dator eller server utan att fråga först.
Det här ändras i npm v12
GitHub, som äger npm, har bekräftat att nästa stora version av pakethanteraren kommer att kräva uttryckligt godkännande innan så kallade post-install-scripts körs. Idag är det tvärtom: när du eller din utvecklare skriver `npm install` så körs alla installationsskript som paketens skapare lagt in, helt automatiskt.
Det är just den mekanismen som angripare har utnyttjat gång på gång under 2025.
Konkret betyder ändringen:
- Installationsskript är avstängda som standard från juli 2026
- Du måste godkänna varje paket som ska få köra skript vid installation
- Befintliga projekt påverkas vid nästa större npm-uppdatering
- CI/CD-pipelines kan behöva justeras
För dig som inte själv kodar: detta är något din utvecklare eller webbyrå behöver känna till. Fråga dem om det inför sommaren 2026.
Varför ändringen kommer nu
Under september 2025 inträffade en attack som skakade hela utvecklarvärlden. Arton populära npm-paket komprometterades efter att en utvecklare med smeknamnet ”Qix” lurades av ett phishingmejl från den falska domänen npmjs.help. På cirka två timmar hann skadliga versioner av paket som chalk, debug och ansi-styles laddas ner miljontals gånger.
De arton paketen hade tillsammans över två miljarder nedladdningar per vecka. Det är inte ett skrivfel.
Koden som smugglades in letade efter kryptotransaktioner i webbläsaren och bytte ut mottagaradresser innan transaktionen signerades. Den direkta ekonomiska skadan blev liten, runt 600 dollar i kryptovaluta spårades till angriparnas konton, men potentialen var enorm. Hade payloaden riktats mot en fintech-app eller en handelsplats hade förlusterna kunnat bli miljoner inom minuter.
Och det var inte en engångshändelse. Under en sexveckorsperiod hösten 2025 komprometterades över 520 npm-paket. Sonatype, som följer mjukvaruekosystem, rapporterade att 454 648 nya skadliga npm-paket publicerades under hela 2025.
Vad detta betyder för svenska småföretag
Ditt företag behöver inte ha en utvecklingsavdelning för att vara berört. Tänk dig de här tre vanliga situationerna:
Du har en webbshop byggd i WooCommerce, Shopify eller liknande. Plattformen i sig är säker, men plugins och custom-utveckling drar ofta in npm-paket. Den webbyrå som byggde din sajt har sannolikt ett package-lock.json någonstans i sin pipeline.
Du driver en SaaS-tjänst eller app. Då är du extremt exponerad. Ett genomsnittligt npm-projekt drar in 79 transitiva beroenden, paket som dina paket använder, som dina paket använder. Du har förmodligen ingen aning om vilka de är.
Du anlitar konsulter som bygger interna verktyg. Bokföringsintegrationer, kundportaler, offerteringssystem. Allt som körs på modern JavaScript har samma exponering.
MSB (Myndigheten för samhällsskydd och beredskap) har under 2025 särskilt pekat ut digitala leveranskedjor som ett prioriterat område och beviljat stöd till 26 nya cybersäkerhetsprojekt på området. Läs mer hos MSB om satsningen på digitala leveranskedjor.
Tre konkreta frågor att ställa din utvecklare
Du behöver inte förstå koden. Du behöver ställa rätt frågor. Här är de tre som faktiskt betyder något:
- Använder vi `npm ci` istället för `npm install` i vår CI/CD? Det säkerställer att exakt de versioner som testades är de som hamnar i produktion.
- Har vi en cooldown-period på nya paketversioner? Det innebär att en uppdatering som släpptes igår inte rullas ut förrän den legat ute i sju eller fjorton dagar. De flesta attacker upptäcks inom timmar.
- Genererar vi en SBOM (Software Bill of Materials) vid varje build? Det är en lista över allt som finns i din mjukvara. Utan den vet du inte vad du har när nästa attack kommer.
Om svaret är ”nej” eller ”vad är det” på alla tre, då har ni hemläxa att göra innan juli 2026.
Kostnaden av att inte göra något
Ett komprometterat paket i din kodbas kan leda till:
- Att kunddata läcker, med GDPR-anmälan till Integritetsskyddsmyndigheten som följd
- Att betalningar dirigeras om till angriparens konton
- Att din infrastruktur används för att attackera andra
- Att dina kunders förtroende försvinner över en natt
För ett enskilt företag är det här inte abstrakt. Det är skillnaden mellan att stå vid disken på måndag morgon eller ringa juristen.
Driver du verksamhet inom el, vatten, transport eller andra samhällskritiska sektorer gäller dessutom PTS föreskrifter om säkerhet i nät och tjänster, som ställer specifika krav på leveranskedjans säkerhet. Se föreskrifterna hos PTS.
Så förbereder du ditt företag redan nu
Du behöver inte vänta till sommaren 2026. Det här kan du göra på en eftermiddag, även om du inte är tekniker:
- Kartlägg vilka system ni har som bygger på npm. Fråga era utvecklare eller webbyrå.
- Sätt upp ett avtal om incidenthantering. Vad händer om ert system komprometteras klockan 23:00 en fredag?
- Aktivera tvåfaktorautentisering på era utvecklarkonton. Inte SMS, hårdvarunycklar eller äkta authenticator-appar. SMS knäcktes i flera av 2025 års attacker.
- Be om en lista över beroenden i de system ni betalar för. Får ni inte den från er leverantör, har ni en leverantörsrisk.
- Inkludera mjukvarusäkerhet i ert konsultavtal framöver. En enkel klausul om SBOM och dependency-scanning räcker långt.
Vill du läsa mer om hur du som småföretagare hanterar risker bredare, har vi samlat våra erfarenheter i dyrköpta entreprenörslärdomar och i logistik- och leverantörsval för växande företag.
En försenad förbättring som ändå förändrar mycket
npm v12 löser inte allt. Phishing kommer fortfarande att fungera. Skadliga paket kommer fortfarande att publiceras. Och de flesta utvecklare kommer förmodligen att klicka ”tillåt skript” utan att tänka, precis som de klickar igenom cookie-banners.
Men förändringen flyttar standardläget. Och i säkerhetsfrågor är defaults nästan allt. När det krävs ett aktivt val för att köra kod från en främmande maintainer, så kommer fler att tänka efter en sekund extra. En sekund som hade kunnat rädda många utvecklarkonton under 2025.
För dig som driver eget gäller samma princip som alltid. Du behöver inte förstå tekniken till botten. Du behöver veta tillräckligt för att ställa rätt frågor till dem som gör jobbet, och vara beredd att betala lite extra för att det görs ordentligt.
FAQ
Måste jag som driver enskild firma bry mig om detta?
Om du har en hemsida som någon annan byggt åt dig och du inte har egen kod i drift, så är direkta påverkan liten. Men fråga din webbyrå om de följer riktlinjerna ovan. Du köper deras säkerhetsrutiner som en del av tjänsten.
Vad är skillnaden mellan npm install och npm ci?
`npm install` kan hämta nya minor- och patch-versioner av paket varje gång den körs, beroende på hur dina version-ranges är skrivna. `npm ci` installerar exakt de versioner som står i package-lock.json. För produktionsbyggen är `npm ci` säkrare eftersom du vet exakt vad som installeras.
När börjar de nya reglerna gälla?
GitHub har angett juli 2026 som riktmärke för när installationsskript inte längre körs automatiskt i npm v12. Exakt releasedatum kan justeras. Följ npms officiella blogg eller fråga er utvecklare att hålla koll.
Räcker det med npm audit för att hitta sårbarheter?
Nej. `npm audit` hittar kända sårbarheter (CVE-tilldelade) men missar nya supply chain-attacker som de under 2025. Komplettera med verktyg som Socket eller Aikido som analyserar beteende, inte bara kända brister.
Kan jag stänga av installationsskript redan idag?
Ja. Lägg till flaggan `–ignore-scripts` när du kör `npm install`, eller sätt det permanent i din `.npmrc`-fil. Vissa paket kräver dock skript för att fungera, så testa noga innan du rullar ut det i produktion.
Är yarn eller pnpm säkrare än npm?
De har liknande grundproblem eftersom de hämtar från samma register. pnpm har vissa fördelar med hur det hanterar beroenden, men ingen pakethanterare löser supply chain-attacker av sig själv. Rutinerna runt, versionslåsning, cooldown, MFA, är viktigare än valet av verktyg.
Isabelle Andersson är chefsanalytiker på Bättre Affärer med över tio års erfarenhet av finansiell analys och bolagsvärdering. Hon arbetar med strukturerade och oberoende genomgångar av noterade bolag med fokus på affärsmodell, kassaflöden och långsiktigt värdeskapande. Isabelle publicerar inga investeringsråd utan strävar efter att ge läsaren ett sakligt och transparent beslutsunderlag.