npm
GitHub объявляет об изменениях в системе безопасности npm для защиты от атак на цепочки поставок
Компания GitHub объявила, что в npm версии 12, выход которой ожидается в следующем месяце, будет внесено несколько изменений, направленных на повышение безопасности и предотвращение атак на цепочки поставок с использованием команд, запускаемых с помощью команды «npm install».npm install — это команда, используемая для загрузки и установки зависимостей проекта, а также для запуска любых скриптов, связанных
Тэги: , GitHub, npm, кибербезопасность Категории: Безопасность в IT, НовостиIT, Программное обеспечение
Пакеты Red Hat npm скомпрометированы для кражи учетных данных разработчиков
Более 30 пакетов npm в пространстве имён @redhat-cloud-services компании Red Hat были скомпрометированы в результате атаки на цепочку поставок, в ходе которой распространился новый вариант вредоносной программы Shai-Hulud для кражи учётных данных, получивший название Miasma.Инцидент был обнаружен компаниями по обеспечению безопасности Aikido и OX Security, которые выявили десятки версий пакетов с вредоносным ПО, предназначенным для кражи учетных данных
GitHub связывает взлом репозитория с атакой на цепочку поставок TanStack npm
По данным GitHub, хакеры, взломавшие 3800 внутренних репозиториев, получили доступ с помощью вредоносной версии расширения Nx Console для VS Code, скомпрометированной в результате атаки на цепочку поставок TanStack npm на прошлой неделе.Эта атака была приписана хакерской группировке TeamPCP и началась с компрометации десятков пакетов npm TanStack и Mistral AI, а затем быстро распространилась на другие проекты (включая UiPath, Guardrails
Тэги: , GitHub, npm, кибербезопасность Категории: Безопасность в IT, НовостиIT, Программное обеспечение
Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI
Bitwarden, сервис для управления паролями с открытым исходным кодом, подтвердил, что его клиент командной строки на короткое время оказался под угрозой из-за компрометации цепочки поставок, связанной с пакетом npm для CLI 2026.4.0.Служба безопасности выявила и заблокировала вредоносный пакет, распространявшийся через npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 по восточному времени 22 апреля 2026 года. Этот инцидент
Тэги: , Bitwarden, CLI, npm, Open Source, кибербезопасность, пароль, сервис Категории: Безопасность в IT, НовостиIT, Программное обеспечение
Критическая уязвимость в библиотеке Protobuf позволяет выполнять код JavaScript
Опубликован экспериментальный код для использования критической уязвимости, позволяющей удаленно выполнять код, в protobuf.js — широко используемой JavaScript-реализации Protocol Buffers от Google.Этот инструмент очень популярен в реестре Node Package Manager (npm): в среднем его скачивают почти 50 миллионов раз в неделю. Он используется для межсервисного взаимодействия, в приложениях реального времени, а также для эффективного хранения структурированных данных
PhantomRaven атакует npm: 88 вредоносных пакетов воруют данные разработчиков
Экосистема JavaScript продолжает сталкиваться с серьёзными угрозами безопасности. В начале 2026 года специалисты по кибербезопасности обнаружили новую волну атак PhantomRaven, направленную на популярный менеджер пакетов npm. Злоумышленники распространяют вредоносные библиотеки, которые внешне выглядят как обычные open-source зависимости, но на деле похищают конфиденциальные данные разработчиков.По данным исследователей, новая серия атак включает 88 вредоносных пакетов, распространяемых через
Тэги: , npm, кибербезопасность, менеджер пакетов Категории: JavaScript, Безопасность в IT, НовостиIT, Программное обеспечение
Вредоносный пакет npm крадёт аккаунты и сообщения WhatsApp
Вредоносный пакет в реестре Node Package Manager (NPM) выдаёт себя за легитимную библиотеку WhatsApp* Web API, чтобы красть сообщения WhatsApp*, собирать контакты и получать доступ к аккаунту.Вредоносный пакет, являющийся ответвлением популярного проекта WhiskeySockets Baileys, предоставляет легитимную функциональность. Он доступен на npm под названием lotusbail по меньшей мере шесть месяцев и был скачан более 56 000 раз. Исследователи из
Тэги: , npm, киберугрозы, пакеты в Linux Категории: WhatsApp, Безопасность в IT, НовостиIT, Социальные сети
Вредоносная программа Shai-Hulud заражает 500 пакетов npm и раскрывает секреты на GitHub
В рамках новой кампании Shai-Hulud по взлому цепочки поставок в реестр npm были добавлены сотни троянизированных версий известных пакетов, таких как Zapier, ENS Domains, PostHog и Postman.В минувшие выходные в NPM (менеджер пакетов Node) были добавлены вредоносные пакеты для кражи секретов разработчиков, а также секретов непрерывной интеграции и непрерывной доставки (CI/CD). Данные автоматически публикуются на
Новый червь «IndonesianFoods (Индонезийская кухня)» заполонил npm 100 000 пакетов
Самораспространяющийся пакет, опубликованный на npm, засоряет реестр, создавая новые пакеты каждые семь секунд и накапливая большие объёмы мусора.По данным Sonatype, червь, получивший название «IndonesianFoods» из-за характерной схемы именования пакетов, в которой используются случайные индонезийские имена и названия продуктов питания, опубликовал более 100 000 пакетов, и их количество растёт в геометрической прогрессии.Хотя в пакетах нет вредоносных
Вредоносные пакеты NPM загружают Infostealer для Windows, Linux и macOS
Десять вредоносных пакетов, имитирующих легитимные программные проекты в реестре npm, загружают компонент для кражи информации, который собирает конфиденциальные данные из систем Windows, Linux и macOS.Пакеты были загружены в npm 4 июля и долгое время оставались незамеченными из-за нескольких уровней обфускации, которые помогали обойти стандартные механизмы статического анализа.По данным исследователей из компании Socket, специализирующейся на кибербезопасности,
