Последние новости: npm

StepSecurity выпустила функцию Package Configs для Dev Machine Guard — инструмента, который проверяет настройки пакетных менеджеров на рабочих машинах разработчиков. Цель — закрыть типичный разрыв в защите от атак на цепочку поставки. Новая функция показывает, откуда конкретная машина получает пакеты, …

В экосистеме npm зафиксировали крупную атаку на цепочку поставки программного обеспечения. Под удар попали пакеты Mastra — открытого TypeScript-фреймворка для разработки ИИ-агентов, рабочих процессов и приложений с большими языковыми моделями. Злоумышленники добавили в пакеты зависимость easy-day-js, которая маскировалась под популярную …

Red Hat подтвердила компрометацию npm-пакетов в пространстве @redhat-cloud-services. Вредоносные версии содержали вариант Shai-Hulud под названием Miasma, который крадёт GitHub-токены, npm-токены, облачные ключи, SSH-ключи и другие секреты разработчиков.

TrapDoor атакует разработчиков. В npm, PyPI и Crates.io нашли вредоносные пакеты для кражи данных.

Автоматический сканер принял обычные пакеты за вредоносные: OSV отозвала 157 отчётов

Исследователи CrowdStrike, Google и Shadowserver Foundation отключили инфраструктуру GlassWorm — самораспространяющегося вредоносного червя, который атаковал разработчиков через расширения VS Code, OpenVSX, npm- и Python-пакеты, а затем использовал украденные токены для заражения новых репозиториев и пакетов. Операция прошла 26 мая 2026 …

Один день, 5718 коммитов. GitHub Actions превратили в стилер: Megalodon украл секреты CI/CD у тысяч проектов. Supply chain-атака Megalodon ударила по токенам, SSH-ключам и облачным доступам. Фейковые build-bot и ci-bot залили малварь в тысячи репозиториев.

В npm обнаружили три вредоносные версии пакета node-ipc: 9.1.6, 9.2.3 и 12.0.1. Пакет используется в Node.js-проектах для межпроцессного взаимодействия, а вредоносный код был встроен в CommonJS-сборку node-ipc.cjs. При загрузке через require("node-ipc") он запускался автоматически, собирал переменные окружения, SSH-ключи, облачные конфиги, …

Киберпреступники превратили взлом open source в конкурс: $1 000 за самый крупный supply chain. Риск — массовые атаки на цепочки поставок

Экосистема npm пережила заметный сдвиг: вредоносные пакеты перестали быть мелким шумом вокруг опечаток в названиях библиотек. Атаки всё чаще бьют по реальным пакетам, учётным записям сопровождающих, сборочным конвейерам и токенам публикации. Главная цель — не компьютер отдельного разработчика, а вся …

OpenAI подтвердила инцидент, связанный с атакой на популярные пакеты TanStack в npm. Компрометированы были два корпоративных устройства сотрудников. Компания заявляет, что не нашла признаков доступа к данным пользователей, продакшен-системам, интеллектуальной собственности или изменениям в выпущенном ПО. Главная мера для обычных …

Свежие npm-пакеты больше не попадают в сборку сразу: pnpm 11 вводит обязательную паузу в 24 часа, чтобы остановить вредоносные релизы на входе.

Новая supply chain-атака в npm: злоумышленники маскировались под плагины Strapi

Фальшивый пакет для Gemini оказался ловушкой: у разработчиков крали токены и файлы. Через поддельный npm-пакет злоумышленники добрались до Claude, Cursor и кошельков

Новая волна Contagious Interview затронула сразу пять экосистем открытого ПО. Вредоносные пакеты маскировались под инструменты для разработчиков и загружали второй этап заражения.