npm

Чтобы не потерять активы, действовать необходимо без промедлений. Обычное обновление зависимости снова стало входной точкой для атаки на разработчиков: злоумышленник заразил вредоносным кодом 141 npm-пакет Mastra после взлома учётной записи одного из участников проекта. Mastra — набор...

Платформа отказывается исправлять уязвимость ради мнимого удобства. Иногда опасная атака держится не только на украденных паролях, но и на мелких деталях интерфейса, которым разработчики привыкли доверять. GitHub отклонил два отчёта Deep Specter Research о механизмах, которые, по данным...

NPM 12 превращает установку зависимостей в отдельную работу. NPM готовит одно из самых заметных изменений за последние годы. В новой версии менеджера пакетов разработчики больше не смогут по умолчанию запускать установочные сценарии из чужих библиотек. На бумаге выглядит как мощный удар по...

Сразу 95 официальных пакетов внезапно превратились в шпионов. Разработчики привыкли доверять пакетам из привычных пространств имён, особенно когда речь идёт о компонентах крупных вендоров. Но новый инцидент с npm показал, что даже такая зависимость может стать точкой входа для кражи...

Банальная опечатка при поиске нужной утилиты приводила к немедленному взлому системы. В атаках на разработчиков всё чаще хватает не взлома крупной платформы, а одного удачно замаскированного пакета. Свежий случай с npm показывает, как быстро вредоносный код может попасть в рабочие среды...

Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко. Компания GitHub, которой принадлежит платформа npm, сообщила о двух новых мерах защиты для экосистемы JavaScript. Обновления должны усложнить атаки, при которых злоумышленники пытаются подменять...

Bumblebee позволяет обнаруживать вредоносные пакеты и расширения без запуска стороннего кода. Perplexity AI выложила в открытый доступ Bumblebee, сканер для проверки рабочих компьютеров разработчиков на следы опасных пакетов, расширений и настроек инструментов. Утилита помогает быстро...

Жертве достаточно открыть заражённую ссылку, чтобы мгновенно лишиться всех цифровых накоплений. Компрометация одного npm -пакета превратилась в полноценную цепочку атак на владельцев iPhone. Злоумышленники внедрили вредоносный код в популярный JavaScript-шаблонизатор art-template, который...

Эксперты бьют тревогу: хакеры использовали не банальный взлом, а сложную многоуровневую цепочку. В экосистеме npm снова вспыхнула крупная атака на цепочку поставок: злоумышленники за один час протолкнули сотни вредоносных версий популярных пакетов, которыми пользуются разработчики и системы...

Индустрия расплачивается за невнимательность создателей Nx Console. Популярное расширение Nx Console для Visual Studio Code оказалось заражено вредоносным кодом. Под удар попала версия 18.95.0, которую успели опубликовать в магазине расширений Microsoft. У расширения более 2,2 млн установок...

Астрологи объявили неделю атак на цепочку поставок. История Shai-Hulud перестала быть обычной кампанией по краже секретов у разработчиков. Группа TeamPCP, связанная с серией атак на npm и PyPI, фактически открыла исходный код своего инструментария на GitHub. Репозиторий быстро удалили, но...

Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово? Хакерская группа TeamPCP выставила на продажу данные, которые, по её утверждению, относятся к проектам Mistral AI. История началась не с громкой атаки на саму платформу, а с заражённых пакетов и украденных...

История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы. В экосистеме npm снова всплыл риск, который особенно опасен для разработчиков и DevOps-команд: вредоносный код попал не в новый сомнительный пакет, а в известную библиотеку...

Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего. Mini Shai-Hulud снова ударил по цепочке поставок. Но если первая волна атак затронула пакеты SAP , теперь вредоносная схема разрослась до сотен заражённых версий и стала бить по местам, где обычно...

Ставка была сделана на доверие к привычным зависимостям и ошибку, которую легко не заметить. ИБ-специалисты раскрыли крупную вредоносную кампанию против разработчиков, в которой злоумышленник сделал ставку не на взлом готовых продуктов, а на слабые места сборочных процессов. Через публичный...

Исправить положение дел быстро не выйдет, и на это есть причины. Критическая уязвимость в популярной библиотеке vm2 для Node.js поставила под угрозу сервисы, которые запускают чужой JavaScript-код в изолированной среде. Ошибка позволяет выйти за пределы песочницы и получить выполнение...

Ключи от всех тайников незаметно сменили владельца. Злоумышленники снова ударили по цепочке поставок npm, но на этот раз выбрали узкую и опасную цель — пакеты, которыми пользуются разработчики в экосистеме SAP. Вредоносная кампания «Mini Shai-Hulud» выглядит небольшой по числу затронутых...

Один неверный клик может стоить разработчикам целой инфраструктуры. Кампания GlassWorm снова всплыла в среде разработчиков, но теперь злоумышленники действуют тише. Вместо очевидно вредоносных расширений для OpenVSX они сначала публикуют безобидные копии популярных инструментов, а...

Атака показала, как быстро взламывают цепочки поставок. За несколько дней атаки на цепочки поставок задели сразу несколько популярных инструментов для разработчиков. Теперь под удар попал Bitwarden : злоумышленники внедрили вредоносный код в CLI-утилиту менеджера паролей и успели...

На кону стоят суммы, которые заставляют забыть о правилах приличия. На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов...

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют. Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но...

Изучаем ловушки, обманувшие даже самых бдительных специалистов. Северокорейская кампания Contagious Interview вышла далеко за пределы привычных площадок и начала маскировать вредоносные пакеты сразу в нескольких экосистемах разработки. Под видом безобидных библиотек для логирования...

Привычный запуск кода в терминале превращает личную систему в открытую книгу. Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная...

Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave. В каталоге npm появился на первый взгляд безобидный пакет для проверки токенов Google Gemini, но за простым описанием скрывался полноценный вредоносный инструмент с доступом к системе разработчика. 20 марта 2026 года пользователь...

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...