Последние новости: npm

Red Hat подтвердила компрометацию npm-пакетов в пространстве @redhat-cloud-services. Вредоносные версии содержали вариант Shai-Hulud под названием Miasma, который крадёт GitHub-токены, npm-токены, облачные ключи, SSH-ключи и другие секреты разработчиков.

TrapDoor атакует разработчиков. В npm, PyPI и Crates.io нашли вредоносные пакеты для кражи данных.

Автоматический сканер принял обычные пакеты за вредоносные: OSV отозвала 157 отчётов

Исследователи CrowdStrike, Google и Shadowserver Foundation отключили инфраструктуру GlassWorm — самораспространяющегося вредоносного червя, который атаковал разработчиков через расширения VS Code, OpenVSX, npm- и Python-пакеты, а затем использовал украденные токены для заражения новых репозиториев и пакетов. Операция прошла 26 мая 2026 …

Один день, 5718 коммитов. GitHub Actions превратили в стилер: Megalodon украл секреты CI/CD у тысяч проектов. Supply chain-атака Megalodon ударила по токенам, SSH-ключам и облачным доступам. Фейковые build-bot и ci-bot залили малварь в тысячи репозиториев.

В npm обнаружили три вредоносные версии пакета node-ipc: 9.1.6, 9.2.3 и 12.0.1. Пакет используется в Node.js-проектах для межпроцессного взаимодействия, а вредоносный код был встроен в CommonJS-сборку node-ipc.cjs. При загрузке через require("node-ipc") он запускался автоматически, собирал переменные окружения, SSH-ключи, облачные конфиги, …

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Экосистема npm пережила заметный сдвиг: вредоносные пакеты перестали быть мелким шумом вокруг опечаток в названиях библиотек. Атаки всё чаще бьют по реальным пакетам, учётным записям сопровождающих, сборочным конвейерам и токенам публикации. Главная цель — не компьютер отдельного разработчика, а вся …

OpenAI подтвердила инцидент, связанный с атакой на популярные пакеты TanStack в npm. Компрометированы были два корпоративных устройства сотрудников. Компания заявляет, что не нашла признаков доступа к данным пользователей, продакшен-системам, интеллектуальной собственности или изменениям в выпущенном ПО. Главная мера для обычных …

Свежие npm-пакеты больше не попадают в сборку сразу: pnpm 11 вводит обязательную паузу в 24 часа, чтобы остановить вредоносные релизы на входе.

Новая supply chain-атака в npm: злоумышленники маскировались под плагины Strapi

Фальшивый пакет для Gemini оказался ловушкой: у разработчиков крали токены и файлы. Через поддельный npm-пакет злоумышленники добрались до Claude, Cursor и кошельков

Новая волна Contagious Interview затронула сразу пять экосистем открытого ПО. Вредоносные пакеты маскировались под инструменты для разработчиков и загружали второй этап заражения.

Популярную библиотеку Axios заразили через npm: Microsoft назвала безопасные версии

Популярная JavaScript-библиотека axios оказалась в центре серьезного инцидента с цепочкой поставок ПО (supply chain attack). Исследователи StepSecurity сообщили, что в npm были опубликованы две вредоносные версии пакета, axios@1.14.1 и axios@0.30.4.