npm
Пакеты Red Hat npm скомпрометированы для кражи учетных данных разработчиков
Более 30 пакетов npm в пространстве имён @redhat-cloud-services компании Red Hat были скомпрометированы в результате атаки на цепочку поставок, в ходе которой распространился новый вариант вредоносной программы Shai-Hulud для кражи учётных данных, получивший название Miasma. Инцидент был обнаружен компаниями по обеспечению безопасности Aikido и OX Security, которые выявили десятки версий пакетов с вредоносным ПО, предназначенным для кражи учетных
GitHub связывает взлом репозитория с атакой на цепочку поставок TanStack npm
По данным GitHub, хакеры, взломавшие 3800 внутренних репозиториев, получили доступ с помощью вредоносной версии расширения Nx Console для VS Code, скомпрометированной в результате атаки на цепочку поставок TanStack npm на прошлой неделе. Эта атака была приписана хакерской группировке TeamPCP и началась с компрометации десятков пакетов npm TanStack и Mistral AI, а затем быстро распространилась на другие проекты (включая UiPath,
Тэги: , GitHub, npm, кибербезопасность Категории: Безопасность в IT, НовостиIT, Программное обеспечение
Bitwarden подтверждает, что кратковременный сбой в работе npm затронул пакет CLI
Bitwarden, сервис для управления паролями с открытым исходным кодом, подтвердил, что его клиент командной строки на короткое время оказался под угрозой из-за компрометации цепочки поставок, связанной с пакетом npm для CLI 2026.4.0. Служба безопасности выявила и заблокировала вредоносный пакет, распространявшийся через npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 по восточному времени 22 апреля 2026 года. Этот
Тэги: , Bitwarden, CLI, npm, Open Source, кибербезопасность, пароль, сервис Категории: Безопасность в IT, НовостиIT, Программное обеспечение
Критическая уязвимость в библиотеке Protobuf позволяет выполнять код JavaScript
Опубликован экспериментальный код для использования критической уязвимости, позволяющей удаленно выполнять код, в protobuf.js — широко используемой JavaScript-реализации Protocol Buffers от Google. Этот инструмент очень популярен в реестре Node Package Manager (npm): в среднем его скачивают почти 50 миллионов раз в неделю. Он используется для межсервисного взаимодействия, в приложениях реального времени, а также для эффективного хранения структурированных
PhantomRaven атакует npm: 88 вредоносных пакетов воруют данные разработчиков
Экосистема JavaScript продолжает сталкиваться с серьёзными угрозами безопасности. В начале 2026 года специалисты по кибербезопасности обнаружили новую волну атак PhantomRaven, направленную на популярный менеджер пакетов npm. Злоумышленники распространяют вредоносные библиотеки, которые внешне выглядят как обычные open-source зависимости, но на деле похищают конфиденциальные данные разработчиков. По данным исследователей, новая серия атак включает 88 вредоносных пакетов, распространяемых
Тэги: , npm, кибербезопасность, менеджер пакетов Категории: JavaScript, Безопасность в IT, НовостиIT, Программное обеспечение
Вредоносный пакет npm крадёт аккаунты и сообщения WhatsApp
Вредоносный пакет в реестре Node Package Manager (NPM) выдаёт себя за легитимную библиотеку WhatsApp Web API, чтобы красть сообщения WhatsApp, собирать контакты и получать доступ к аккаунту. Вредоносный пакет, являющийся ответвлением популярного проекта WhiskeySockets Baileys, предоставляет легитимную функциональность. Он доступен на npm под названием lotusbail по меньшей мере шесть месяцев и был скачан более 56 000 раз.
Тэги: , npm, киберугрозы, пакеты в Linux Категории: WhatsApp, Безопасность в IT, НовостиIT, Социальные сети
Вредоносная программа Shai-Hulud заражает 500 пакетов npm и раскрывает секреты на GitHub
В рамках новой кампании Shai-Hulud по взлому цепочки поставок в реестр npm были добавлены сотни троянизированных версий известных пакетов, таких как Zapier, ENS Domains, PostHog и Postman. В минувшие выходные в NPM (менеджер пакетов Node) были добавлены вредоносные пакеты для кражи секретов разработчиков, а также секретов непрерывной интеграции и непрерывной доставки (CI/CD). Данные автоматически публикуются
Новый червь «IndonesianFoods (Индонезийская кухня)» заполонил npm 100 000 пакетов
Самораспространяющийся пакет, опубликованный на npm, засоряет реестр, создавая новые пакеты каждые семь секунд и накапливая большие объёмы мусора. По данным Sonatype, червь, получивший название «IndonesianFoods» из-за характерной схемы именования пакетов, в которой используются случайные индонезийские имена и названия продуктов питания, опубликовал более 100 000 пакетов, и их количество растёт в геометрической прогрессии. Хотя в пакетах
Вредоносные пакеты NPM загружают Infostealer для Windows, Linux и macOS
Десять вредоносных пакетов, имитирующих легитимные программные проекты в реестре npm, загружают компонент для кражи информации, который собирает конфиденциальные данные из систем Windows, Linux и macOS. Пакеты были загружены в npm 4 июля и долгое время оставались незамеченными из-за нескольких уровней обфускации, которые помогали обойти стандартные механизмы статического анализа. По данным исследователей из компании Socket, специализирующейся
Как установить и использовать Yarn Package Manager для Node.js
Yarn — это эффективный инструмент для управления зависимостями в проектах на основе Node.js. Он известен своей высокой скоростью, безопасностью и простотой использования. Что такое Yarn и зачем ее использовать? Yarn — это альтернатива стандартному npm (Node Package Manager). Он предназначен для работы с пакетами и проектами, созданными на Node.js. Yarn предлагает несколько преимуществ по сравнению с
Тэги: , Node.js, npm, Yarn, инструменты, разработчики Категории: Linux, MariaDB, MySQL, Программирование
