npm

  1. NewsMaker

    Новости Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов

    Привычный запуск кода в терминале превращает личную систему в открытую книгу. Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная...
  2. NewsMaker

    Новости Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился

    Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave. В каталоге npm появился на первый взгляд безобидный пакет для проверки токенов Google Gemini, но за простым описанием скрывался полноценный вредоносный инструмент с доступом к системе разработчика. 20 марта 2026 года пользователь...
  3. NewsMaker

    Новости Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор

    В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...
  4. NewsMaker

    Новости Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm

    Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать. Атака на один популярный инструмент незаметно превратилась в цепную реакцию, которая теперь заражает пакеты по всей экосистеме npm . Вредоносный код не просто прячется в отдельных библиотеках, а сам...
  5. NewsMaker

    Новости Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy.

    Злоумышленники научились доставать секреты прямо из оперативной памяти серверов. Одна атака на инструмент разработчиков за сутки переросла в цепную реакцию, которая затронула уже десятки проектов. Сначала злоумышленники взломали популярный сканер уязвимостей Trivy и встроили в него код для...
  6. NewsMaker

    Новости Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа

    Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит. Кампания PhantomRaven, нацеленная на разработчиков через каталог npm, получила продолжение. Специалисты обнаружили ещё три волны атак, в рамках которых злоумышленник разместил десятки вредоносных...
  7. NewsMaker

    Новости Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация

    Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source. У крупнейшего в мире реестра JavaScript-пакетов появился неожиданный конкурент. Разработчики запустили в альфа-версии новый браузер пакетов для npm под названием npmx, и интерес к проекту быстро...
  8. NewsMaker

    Новости Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода

    Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера. Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек...
  9. NewsMaker

    Новости Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm

    Сценарии автоматизации превратились в конвейер по краже секретов. Команда Socket описала активную кампанию в экосистеме npm , которая маскируется под популярные пакеты и превращает случайную установку зависимости в цепочку компрометации репозиториев и CI. Атаку отслеживают под именем...
  10. NewsMaker

    Новости В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента

    Под угрозой оказались тысячи рабочих станций по всему миру. В реестре npm произошёл инцидент с инструментом Cline CLI — в течение нескольких часов пользователям распространяли версию с изменённым сценарием установки. Разработчики подтвердили, что доступ к токену публикации оказался...
  11. NewsMaker

    Новости Северокорейцы придумали идеальное резюме: вы думаете, что нанимаете, а они уже внутри

    Хакеры из КНДР научились незаметно подменять расширения в Chrome. Северокорейские злоумышленники пытаются подменять расширение криптокошелька <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask прямо на компьютере жертвы, и...
  12. NewsMaker

    Новости Ваш торговый бот теперь работает на другого дядю. В официальных библиотеках dYdX нашли бэкдор

    Теперь внутри кода прячется сюрприз, о котором не знают даже профи. Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной...
  13. NewsMaker

    Новости «Фриланс на 800 тысяч». Как “вакансия” в LinkedIn оказалась попыткой заразить компьютер разработчика

    Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...
  14. NewsMaker

    Новости «Фриланс на 800 тысяч». Как “вакансия” в LinkedIn оказалась попыткой заразить компьютер разработчика

    Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...
  15. NewsMaker

    Новости Автоматизация взлома. Платформа n8n тайно передаёт ключи от Stripe посторонним

    Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам. Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для...
  16. NewsMaker

    Новости Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord

    Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках. Специалисты Zscaler выявили новую кампанию с использованием популярных тем в криптовалютной сфере. В официальном репозитории npm были обнаружены три вредоносные библиотеки, распространяющие ранее неизвестную программу...
  17. NewsMaker

    Новости Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов

    Злоумышленники годами готовили почву для этого скрытого удара. Крупная кампания по компрометации цепочек поставок, известная как Shai-Hulud, оказалась связана с недавней кражей криптовалюты на сумму около 8,5 миллионов долларов из более чем 2500 кошельков Trust Wallet. Команда компании...
  18. NewsMaker

    Новости Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера

    В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены. В репозитории npm обнаружили вредоносный пакет lotusbail, который выдаёт себя за библиотеку для работы с WhatsApp Web и при этом незаметно крадёт переписки и даёт...
  19. NewsMaker

    Новости 197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон

    Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты. Северокорейская вредоносная кампания Contagious Interview продолжает наращивать давление на экосистему JavaScript-разработки. Участники хакерских группировок из КНДР массово загружают в репозиторий npm...
  20. NewsMaker

    Новости Кража токенов или уничтожение диска: Sha1-Hulud ставит ультиматум заражённым системам

    Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность. В экосистеме npm вновь фиксируется масштабная вредоносная активность. На этот раз речь идёт о второй волне атаки Shai-Hulud , которая повторяет логику сентябрьской кампании, но...
  21. NewsMaker

    Новости Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО

    Каждый пакет содержал tea.yaml для вывода наград злоумышленникам. В экосистеме npm обнаружили одну из крупнейших атак на цепочку поставок за всю историю открытых репозиториев. Исследователи Amazon говорят о беспрецедентном «затоплении» реестра пакетами, но у этой кампании есть...
  22. NewsMaker

    Новости «Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось

    Зачем кто-то целых два года загружал на платформу мусорные пакеты? Появление десятков тысяч фиктивных пакетов в экосистеме npm неожиданно превратилось в долгую и труднообъяснимую историю, начавшуюся ещё в 2024 году. Специалисты заметили, что к каталогу JavaScript-библиотек за два года...
  23. NewsMaker

    Новости ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов

    Один «npm install» — и хакеры получают полный контроль над всей цепочкой поставок. Активная кампания «PhantomRaven» нацелилась на разработчиков через репозиторий npm и за короткое время разнесла по экосистеме десятки вредоносных пакетов. Встроенный в них зловредный код собирает токены...
  24. NewsMaker

    Новости Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm

    «Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2. В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили в популярном хранилище открытого программного обеспечения npm вредоносный пакет https-proxy-utils. Он был замаскирован под...
  25. NewsMaker

    Новости "God-mode" в руках хакера. Как одна строка кода скомпрометировала сотни компаний

    Простой инструмент для ИИ-ассистентов оказался самым коварным бэкдором года. Разработчики привыкли доверять инструментам, которые помогают их ИИ-ассистентам брать на себя рутинные задачи — от отправки писем до работы с базами данных. Но это доверие оказалось уязвимостью: пакет postmark-mcp...