npm

  1. NewsMaker

    Новости QR-код стал трояном, а не ссылкой. Пиксели начали скрывать кражу паролей и обходить защиту NPM-экосистемы

    QR-код превратился в полноценный контейнер для исполнения вредоносного скрипта. Команда Socket Threat Research обнаружила новый вредоносный NPM-пакет под названием fezbox, опубликованный пользователем с ником janedu. Пакет позиционируется как безобидная библиотека, но внутри скрыт необычный...
  2. NewsMaker

    Новости Червь Shai-Hulud заразил сотни библиотек. Жёсткий ответ GitHub не заставил себя ждать

    Новый механизм публикации навсегда исключит человека из цепочки доверия. GitHub анонсировала масштабные изменения в системе аутентификации и публикации пакетов в npm, направленные на усиление защиты от атак на цепочку поставок. Причиной обновлений стала недавняя кампания Shai-Hulud —...
  3. NewsMaker

    Новости Захватил NPM и цепочки поставок — разработчики стали жертвами червя Shai-Hulud

    Хотели «Hello, world» — получили «Hello, worm». В экосистеме JavaScript обнаружен опасный червь под названием Shai-Hulud, заразивший как минимум 187 пакетов в репозитории NPM. Его особенность в том, что он не просто крадёт учётные данные разработчиков, но и самостоятельно распространяется...
  4. NewsMaker

    Новости 40 популярных пакетов заражены троянами. Отзовите все токены прямо сейчас

    Вирус распространяется автоматически и закрепляется в репозиториях навсегда. Исследователи компании Socket сообщили о новой атаке на экосистему npm, в результате которой более 40 пакетов оказались заражены встроенным вредоносным кодом. Механизм компрометации был тщательно продуман...
  5. NewsMaker

    Новости Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?

    Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент...
  6. NewsMaker

    Новости Взломаны 18 JavaScript-библиотек с 2 миллиардами загрузок в неделю. Вся экосистема веб-разработки под ударом хакеров

    Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код. Как минимум 18 популярных JavaScript-пакетов на NPM с совокупной недельной аудиторией свыше 2 миллиардов загрузок на короткое время оказались с вредоносными вставками — после фишинг-атаки одного из...
  7. NewsMaker

    Новости Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты

    Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой. В экосистеме npm обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket показал , что они...
  8. NewsMaker

    Новости 1 коммит — 3000 украденных секретов: что не так с безопасностью на GitHub

    API-ключи разработчиков уже могут продаваться в даркнете. Атака GhostAction стала одним из крупнейших компрометаций GitHub-экосистемы за последние годы. Специалисты GitGuardian выявили масштабную кампанию, в ходе которой злоумышленники внедряли вредоносные workflow-файлы в репозитории. Через...
  9. NewsMaker

    Новости Один импорт — и криптовалюта уплывает к хакерам. Что они нашли в недрах Atomic Wallet?

    ИИ-ассистенты теперь не только пишут код, но и рекомендуют, как лучше потерять свои сбережения. Специалисты Socket обнаружили вредоносный npm-пакет под названием nodejs-smtp, который маскируется под популярную библиотеку nodemailer (средний объём загрузок — 3,9 миллиона в неделю), но на деле...
  10. NewsMaker

    Новости Хакеры взломали топового разработчика Nx — лидера NPM-экосистемы с 24 млн загрузок

    Украдено более 1000 GitHub-токенов, пострадали 70% Fortune 500. Экосистема NPM столкнулась с новой атакой на цепочку поставок: объектом стал проект Nx, в репозиторий которого во вторник вечером были загружены несколько вредоносных версий пакетов. По данным исследователей из Wiz , эти...
  11. NewsMaker

    Новости Solana-Scan: крипторынок атакуют поддельные библиотеки — и пишутся они уже не людьми

    Хакеры, не волнуйтесь. Всю грязную работу по заражению блокчейна возьмёт на себя ИИ. Исследователи обнаружили новую кампанию с политическим оттенком, нацеленную на экосистему блокчейна Solana и, как предполагается, на разработчиков криптопроектов из России. Исследователи компании Safety...
  12. NewsMaker

    Новости Каждая установка библиотеки — русская рулетка. Разработчики не подозревают об опасности в собственном коде

    Доверие к IT-экосистемам обернулось катастрофой для всей индустрии. Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...
  13. NewsMaker

    Новости “rm -rf в подарок”: GitHub-управляемый kill switch в модулях WhatsApp

    Два трояна в NPM притворяются библиотеками для WhatsApp. Почему их до сих пор не удалили? В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные...
  14. NewsMaker

    Новости ИИ научился воровать крипту, но не смог удержаться от смайликов в коде

    Kodane намеренно оставляет мелочь в кошельках жертв, чтобы хватило на оплату комиссии. Вредоносный пакет в экосистеме NPM, обнаруженный специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного...
  15. NewsMaker

    Новости Открытый код — шпионская база КНДР. Добро пожаловать в разработку Lazarus

    Пустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root. В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus . Впервые автоматизированные системы...
  16. NewsMaker

    Новости Установили npm-библиотеку? Поздравляем, Claude только что обобрал вас до биткоина

    Более 1500 разработчиков стали жертвами коварного ИИ-криптовора. Исследователи зафиксировали новую угрозу в экосистеме npm — вредоносный пакет <strong>@kodane/patch-manager</strong>, сгенерированный с использованием искусственного интеллекта и предназначенный для кражи криптовалюты...
  17. NewsMaker

    Новости Самая скучная библиотека в мире оказалась самой опасной за всю историю Node.js

    Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...
  18. NewsMaker

    Новости На экране — установка пакета. Внутри — ритуал самоуничтожения

    Программисты думали, что обновляют софт. А на деле — запустили цифровую гильотину. Хакеры получили доступ к аккаунту организации Toptal на GitHub и использовали его для распространения вредоносного программного обеспечения через официальные каналы. В результате были опубликованы десять...
  19. NewsMaker

    Новости Пакет для улучшения кода начал тайно внедрять вредоносные участки в проекты пользователей

    Даже одно фишинговое письмо способно обрушить безопасность целой экосистемы. В экосистеме npm произошёл громкий инцидент: популярный пакет eslint-config-prettier внезапно обновился без каких-либо изменений на GitHub. Разработчики быстро заподозрили неладное — и не зря. Автор пакета признался...
  20. NewsMaker

    Новости 5 популярных npm-пакетов + 28 протестных модулей = крупнейшая атака на российских разработчиков в 2025 году

    Вы уверены в своих зависимостях? Хакеры внедрили вредоносный код в популярные пакеты npm, воспользовавшись фишинговой атакой на сопровождающих проекты. Злоумышленники провели фишинговую кампанию, нацеленную на разработчиков, сопровождающих проекты, и похитили их токены доступа к npm. Получив...
  21. NewsMaker

    Новости Добро пожаловать на стажировку. Первое задание — отдать криптовалюту и пароли

    Когда «учебный код» учит только одному — не доверяй никому. С начала лета 2025 года злоумышленники, связанные с кампанией Contagious Interview и предположительно действующие в интересах КНДР, вновь активизировались, разместив в реестре npm 67 вредоносных пакетов. Это стало продолжением...
  22. NewsMaker

    Новости 6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил

    Pull request с невинным названием запустил цепную реакцию, которая едва не привела к катастрофе. Атака на расширение Visual Studio Code под названием Ethcode поставила под угрозу более 6 000 разработчиков по всему миру. Проблема возникла из-за внедрения вредоносного кода в популярный...
  23. NewsMaker

    Новости Собеседование мечты, GitHub-проект и npm install. Три шага до того, как ваш ПК станет чужим

    Тот случай, когда «удалёнка» означает удалённый доступ к вашему компьютеру. Специалисты в сфере информационной безопасности обнаружили новую волну вредоносных npm-пакетов, связанных с продолжающейся операцией Contagious Interview , которую связывают с Северной Кореей. Об этом сообщила...
  24. NewsMaker

    Новости Простой npm install открыл дверь разведке. Разработчики не были готовы.

    PyPI решил помочь с машинным обучением… но только злоумышленникам. На фоне всё более изощрённых атак на программную цепочку поставок, специалисты в сфере информационной безопасности выявили новое вредоносное ПО в официальных репозиториях, включая Python Package Index (PyPI) и npm. Речь идёт...
  25. NewsMaker

    Новости rm -rf * — и всё исчезает: npm заражён опасным «лечебным» модулем

    Код, который не лечит, а калечит. Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под...