Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
QR-код превратился в полноценный контейнер для исполнения вредоносного скрипта.
Команда Socket Threat Research обнаружила новый вредоносный NPM-пакет под названием fezbox, опубликованный пользователем с ником janedu. Пакет позиционируется как безобидная библиотека, но внутри скрыт необычный...
Новый механизм публикации навсегда исключит человека из цепочки доверия.
GitHub анонсировала масштабные изменения в системе аутентификации и публикации пакетов в npm, направленные на усиление защиты от атак на цепочку поставок. Причиной обновлений стала недавняя кампания Shai-Hulud —...
Хотели «Hello, world» — получили «Hello, worm».
В экосистеме JavaScript обнаружен опасный червь под названием Shai-Hulud, заразивший как минимум 187 пакетов в репозитории NPM. Его особенность в том, что он не просто крадёт учётные данные разработчиков, но и самостоятельно распространяется...
Вирус распространяется автоматически и закрепляется в репозиториях навсегда.
Исследователи компании Socket сообщили о новой атаке на экосистему npm, в результате которой более 40 пакетов оказались заражены встроенным вредоносным кодом. Механизм компрометации был тщательно продуман...
Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом
Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент...
Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код.
Как минимум 18 популярных JavaScript-пакетов на NPM с совокупной недельной аудиторией свыше 2 миллиардов загрузок на короткое время оказались с вредоносными вставками — после фишинг-атаки одного из...
Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.
В экосистеме npm обнаружили четыре вредоносные библиотеки, которые нацелены на кражу криптовалютных кошельков у разработчиков Ethereum. Анализ компании Socket показал , что они...
API-ключи разработчиков уже могут продаваться в даркнете.
Атака GhostAction стала одним из крупнейших компрометаций GitHub-экосистемы за последние годы. Специалисты GitGuardian выявили масштабную кампанию, в ходе которой злоумышленники внедряли вредоносные workflow-файлы в репозитории. Через...
ИИ-ассистенты теперь не только пишут код, но и рекомендуют, как лучше потерять свои сбережения.
Специалисты Socket обнаружили вредоносный npm-пакет под названием nodejs-smtp, который маскируется под популярную библиотеку nodemailer (средний объём загрузок — 3,9 миллиона в неделю), но на деле...
Украдено более 1000 GitHub-токенов, пострадали 70% Fortune 500.
Экосистема NPM столкнулась с новой атакой на цепочку поставок: объектом стал проект Nx, в репозиторий которого во вторник вечером были загружены несколько вредоносных версий пакетов.
По данным исследователей из Wiz , эти...
Хакеры, не волнуйтесь. Всю грязную работу по заражению блокчейна возьмёт на себя ИИ.
Исследователи обнаружили новую кампанию с политическим оттенком, нацеленную на экосистему блокчейна Solana и, как предполагается, на разработчиков криптопроектов из России. Исследователи компании Safety...
Доверие к IT-экосистемам обернулось катастрофой для всей индустрии.
Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...
Два трояна в NPM притворяются библиотеками для WhatsApp. Почему их до сих пор не удалили?
В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные...
Kodane намеренно оставляет мелочь в кошельках жертв, чтобы хватило на оплату комиссии.
Вредоносный пакет в экосистеме NPM, обнаруженный специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного...
Пустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root.
В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus . Впервые автоматизированные системы...
Более 1500 разработчиков стали жертвами коварного ИИ-криптовора.
Исследователи зафиксировали новую угрозу в экосистеме npm — вредоносный пакет <strong>@kodane/patch-manager</strong>, сгенерированный с использованием искусственного интеллекта и предназначенный для кражи криптовалюты...
Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя.
Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...
Программисты думали, что обновляют софт. А на деле — запустили цифровую гильотину.
Хакеры получили доступ к аккаунту организации Toptal на GitHub и использовали его для распространения вредоносного программного обеспечения через официальные каналы. В результате были опубликованы десять...
Даже одно фишинговое письмо способно обрушить безопасность целой экосистемы.
В экосистеме npm произошёл громкий инцидент: популярный пакет eslint-config-prettier внезапно обновился без каких-либо изменений на GitHub. Разработчики быстро заподозрили неладное — и не зря. Автор пакета признался...
Вы уверены в своих зависимостях?
Хакеры внедрили вредоносный код в популярные пакеты npm, воспользовавшись фишинговой атакой на сопровождающих проекты. Злоумышленники провели фишинговую кампанию, нацеленную на разработчиков, сопровождающих проекты, и похитили их токены доступа к npm. Получив...
Когда «учебный код» учит только одному — не доверяй никому.
С начала лета 2025 года злоумышленники, связанные с кампанией Contagious Interview и предположительно действующие в интересах КНДР, вновь активизировались, разместив в реестре npm 67 вредоносных пакетов. Это стало продолжением...
Pull request с невинным названием запустил цепную реакцию, которая едва не привела к катастрофе.
Атака на расширение Visual Studio Code под названием Ethcode поставила под угрозу более 6 000 разработчиков по всему миру. Проблема возникла из-за внедрения вредоносного кода в популярный...
Тот случай, когда «удалёнка» означает удалённый доступ к вашему компьютеру.
Специалисты в сфере информационной безопасности обнаружили новую волну вредоносных npm-пакетов, связанных с продолжающейся операцией Contagious Interview , которую связывают с Северной Кореей. Об этом сообщила...
PyPI решил помочь с машинным обучением… но только злоумышленникам.
На фоне всё более изощрённых атак на программную цепочку поставок, специалисты в сфере информационной безопасности выявили новое вредоносное ПО в официальных репозиториях, включая Python Package Index (PyPI) и npm. Речь идёт...
Код, который не лечит, а калечит.
Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под...