Eine Datei die kompilierten Code auf den Originalquellcode zurueckfuehrt — beim Claude Code Leak war das die Ursache.
Source Maps sind JSON-Dateien die kompiliertem oder minifiziertem JavaScript-Code auf den urspruenglichen Quellcode zurueckmappen. Sie enthalten ein sourcesContent-Feld mit dem vollstaendigen lesbaren Quelltext. Eigentlich nur fuer Debugging gedacht, gehoeren sie NIEMALS in Production-Pakete. Beim Claude Code Leak (31.03.2026) wurde eine 59,8 MB Source Map versehentlich in Version 2.1.88 des npm-Pakets mitveroeffentlicht — 512.000 Zeilen TypeScript Quellcode waren oeffentlich lesbar. Ursache: Ein Bug in Bun.js das Source Maps standardmaessig generiert.
Schutz: In .npmignore alle .map Dateien ausschliessen. Oder im files-Feld der package.json explizit nur die gewuenschten Dateien auflisten. CI-Check: npm pack --dry-run vor jedem Publish.