Последние новости: npm

Популярную библиотеку Axios заразили через npm: Microsoft назвала безопасные версии

Популярная JavaScript-библиотека axios оказалась в центре серьезного инцидента с цепочкой поставок ПО (supply chain attack). Исследователи StepSecurity сообщили, что в npm были опубликованы две вредоносные версии пакета, axios@1.14.1 и axios@0.30.4.

21 уязвимость на всех платформах Apple за один день, включая обход защиты украденного iPhone. Cisco исправила IOS XE полугодовым пакетом, три ошибки без авторизации. Два npm-пакета (node-tesseract-ocr, pdf-image) получили оценку CVSS 9.8: имя файла с метасимволами запускает команду ОС.

Исследователи обнаружили в npm кампанию CanisterWorm: вредоносный код запускается через postinstall, крадёт npm-токены, закрепляется в Linux через systemd и публикует заражённые версии других пакетов.

Microsoft предупредила о серии атак на разработчиков через поддельные репозитории на Next.js. Код выполняется при открытии проекта в VS Code.

В NuGet обнаружены 4 пакета с бэкдорами для ASP.NET, а npm-пакет ambar-src с 50 000 загрузок устанавливал троян.

1,5 млн шпионов в VS Code и дыры в npm: инструменты разработки под ударом Среда разработки больше не безопасная гавань. Исследователи раскрыли две критические угрозы, бьющие по самому сердцу IT-инфраструктуры.