WK 2026: Scoor de beste deals! Stel jouw winnende opstelling samen met behulp van ons advies.

Visual Studio Code legt pauze van 2 uur op voor updaten van npm-packages

Visual Studio Code legt een standaardpauze van 2 uur op voor het automatisch updaten van nieuwe extensies zoals npm-packages. Dit volgt op incidenten met npm-packages, waarmee hackaanvallen zijn uitgevoerd. Microsoft hanteert wel uitzonderingen voor de verplichte pauze.

De nieuwste release (versie 1.123) van Microsofts ontwikkelsoftware Visual Studio Code brengt een standaardvertraging van 2 uur voor het automatisch updaten van extensies die recent zijn gepubliceerd. Deze pauze geeft volgens Microsoft een extra laag bescherming tegen problematische of mogelijk gecompromitteerde releases. De afgelopen maanden zijn npm-packages gehackt zodat kwaadwillenden vergaande aanvallen konden uitvoeren.

De nu ingestelde standaardpauze is van toepassing als automatische updates zijn ingeschakeld. Gebruikers kunnen de pauze opheffen door zelf op de Update-knop te klikken.

Geldt niet voor Microsoft zelf

In bepaalde gevallen geldt de 'afkoeltijd' van 2 uur niet. Dit is het geval voor extensies van 'vertrouwde uitgevers zoals Microsoft, GitHub en OpenAI', merkt GitHub-eigenaar Microsoft op in een voetnoot. Voor die extensies worden automatische updates onmiddellijk uitgevoerd. Een recente grote supplychainaanval via npm-packages gebeurde juist via een vertrouwde uitgever: Linux-aanbieder Red Hat.

Visual Studio Code. Bron: Microsoft
Visual Studio Code. Bron: Microsoft

Door Jasper Bakker

Nieuwsredacteur

Feedback • 04-06-2026 13:43
14 • submitter: Muncher

04-06-2026 • 13:43

14

Submitter: Muncher

Lees meer

19 sep 2025

Wat zijn npm-packages en waarom richten hackers zich erop?

48
Gebruikers van Red Hat Linux lopen gevaar door aanval via malafide npm-packages
Gebruikers van Red Hat Linux lopen gevaar door aanval via malafide npm-packages Nieuws van 2 juni 2026
OpenAI is slachtoffer van supplychainaanval, 'geen gebruikersdata gestolen'
OpenAI is slachtoffer van supplychainaanval, 'geen gebruikersdata gestolen' Nieuws van 15 mei 2026
Bitwarden lost kwetsbaarheid in CLI-tool op na geïnfecteerd npm-package
Bitwarden lost kwetsbaarheid in CLI-tool op na geïnfecteerd npm-package Nieuws van 23 april 2026
Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages
Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages Nieuws van 31 maart 2026
Onderzoekers ontdekken tweede golf van malware in npm-packages
Onderzoekers ontdekken tweede golf van malware in npm-packages Nieuws van 25 november 2025
Meer producten en artikelen
Software development Webdevelopment Marktontwikkelingen Microsoft Cybercrime Cybersecurity Github Npm ontwikkelaars OpenAI Package manager Visual Studio Code

Reacties (14)

-Moderatie-faq
14
14
11
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
donald_dick 4 juni 2026 13:44
2 uur is wel een beetje aan de korte kant?
Reageer
xFeverr @donald_dick4 juni 2026 13:46
pnpm laat je een dag wachten standaard, dan is 2 uur wel kort ja.

Maar het voelt ook als lapmiddel. Als iedereen 2 uur wacht dan is het effect toch precies hetzelfde?
Reageer
watercoolertje
@xFeverr4 juni 2026 13:54
De truuc is dus om langer te wachten dan de rest maar niet te lang :P

Je hebt natuurlijk helemaal gelijk, als iedereen uitstelt is niemand de 'tester'...
Reageer
closefuture @xFeverr4 juni 2026 13:56
Als iedereen 2 uur wacht dan is het effect toch precies hetzelfde?
Niet dat ik denk dat het echt heel veel uitmaakt maar waarschijnlijk is de gedachte dat als er binnen 2 uur ontdekt word dat iemands NPM account gehacked is de besmette versie nog teruggetrokken kan worden.
Reageer
kuurtjes @xFeverr4 juni 2026 14:10
Op deze manier heeft de originele developer wel 2 uur de tijd om het terug te draaien. Veel te kort want je kan als aanvaller gewoon wachten tot als hij gaat slapen, maar het kan wel wat mensen redden.
Reageer
Henk Poley @xFeverr4 juni 2026 14:34
Het probleem met Axios was overigens al binnen een paar minuten gevonden: https://x.com/dez_/status/2038956586706542741

Blijft nog een ding of je npm binnen die 2 uur kan bewegen om er op te reageren.
Reageer
Wailing_Banshee @donald_dick4 juni 2026 13:48
Ja, het zou mooier zijn als je dat zou kunnen instellen. En ook kunt aangeven dat je niemand vertrouwd...
Reageer
BrianHD 4 juni 2026 13:53
Het blijft dweilen met de kraan open. Als attacker zet je dan toch gewoon een datetime in de toekomst die sowieso voorbij de window van VS Code is alvorens je je payload activeert?
Reageer
PixelPionier 4 juni 2026 13:55
Vaak wordt er bij dat soort aanvallen misbruik gemaakt van een gecompromiteerd account. Goed om te weten dat accounts van Microsoft, Github en OpenAI kennelijk niet gecompromiteerd kunnen worden.
Reageer
sspiff 4 juni 2026 13:58
Leuk, maar:
  • 2 uur wachten lijkt me niet voldoende. Het duurt vaak langer voor een aanval ontdekt wordt, zeker bij kleinere bedrijven
  • Grote, "vertrouwde" spelers zijn niet immuun, zoals de recent hack van Red Hat laat zien
Het blijft mij een mysterie waarom niemand een meer betrouwbare package manager voor Node / JavaScript / TypeScript bouwt.

Om The Onion te parafraseren: "There's no way to prevent this, says the only package manager where this regularly happens".
Reageer
NoTechSupport @sspiff4 juni 2026 14:28
Helemaal met je eens, behalve je parafrasering, het is ook wel de grootste package manager. Wat voor features moeten ze van andere package managers overnemen om dit te voorkomen?

Ik denk dat verdacht gedrag op accounts detecteren (inloggen vanuit een ander deel van de wereld) zou kunnen helpen.
Reageer
ge-flopt 4 juni 2026 14:07
Ik zie 2 problemen:
- 2 uur voordat je automatisch een nieuw NPM package krijgt. Wat wordt er in die 2 uur met dat pakket gedaan? Gescanned oid op kwaadwillende software, of iets anders?
- Vals gevoel van zekerheid. Je laat mensen denken dat er iets met het package gedaan is, terwijl ik dit gewoon er niet uit haal dat dit ook daadwerkelijk gedaan wordt.
Reageer
Rhizix 4 juni 2026 14:14
Man man man, wie nu nog npm gebruikt ipv pnpm vraagt er zelf wel om zou ik zeggen.
2 uur lijkt me trouwens wel zeer kort?
Reageer
Stukfruit
4 juni 2026 13:58
Geldt niet voor Microsoft zelf
En zo hebben ze, opzettelijk of niet, weer een extra hoepel toegevoegd waar je als je niet "vertrouwd" bent doorheen moet springen en wat eventueel misbruikt kan worden.

Jammer. Het klonk goed tot dit stukje.
Reageer

Om te kunnen reageren moet je ingelogd zijn