node.js

Исправить положение дел быстро не выйдет, и на это есть причины. Критическая уязвимость в популярной библиотеке vm2 для Node.js поставила под угрозу сервисы, которые запускают чужой JavaScript-код в изолированной среде. Ошибка позволяет выйти за пределы песочницы и получить выполнение...

Теперь даже громкое имя владельца не спасает технологию от критики. Платформа Bun, предназначенная для запуска JavaScript и TypeScript , давно привлекла разработчиков скоростью и набором встроенных возможностей, но вместе с популярностью у проекта накопилась и другая репутация. При работе...

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют. Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но...

Привычный запуск кода в терминале превращает личную систему в открытую книгу. Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная...

Желающих помочь стало так много, что модераторы просто утонули в письмах. Рынок Bug Bounty меняется на глазах, и один из самых заметных сигналов пришёл от Internet Bug Bounty. Программа, больше десяти лет поощрявшая поиск опасных ошибок в открытом ПО, остановила приём новых заявок . Причина...

Хакеры разводят лучших программистов мира на простую команду в консоли. Обычная переписка, приглашение на подкаст или рабочий созвон – так начинается атака, которая в итоге может дать злоумышленникам доступ к миллионам проектов. В последние недели сразу несколько разработчиков популярных...

Знакомые инструменты администрирования превратились в опасное оружие. Незаметное присутствие внутри сети остаётся главным козырем злоумышленников, и новая находка специалистов Blackpoint показывает , насколько изощрёнными становятся такие инструменты. Вредоносный модуль под названием...

Масштаб грядущих неприятностей пока трудно даже вообразить. В экосистеме Node.js обнаружили уязвимость, связанную с базовой логикой HTTP-клиента, которая позволяет обойти прежнюю защиту от разделения запросов. Мартино Спаньоло под ником r3verii опубликовал разбор после того, как команда...

TXT-запись в Solana Name Service помогает быстро переключать инфраструктуру атакующих. В Positive Technologies рассказали о новой цепочке заражения, где злоумышленники прячут командный сервер за блокчейном Solana. В январе 2026 года команда киберразведки PT Expert Security Center обнаружила...

Все версии vm2 ниже 3.10.2 уязвимы к атаке. В библиотеке vm2 , которую часто используют как JavaScript-песочницу для запуска недоверенного кода в Node.js, нашли критическую уязвимость побега из sandbox. Проблема получила идентификатор CVE-2026-22709 и оценку 9.8 по CVSS, а успешная...

Все версии vm2 ниже 3.10.2 уязвимы к атаке. В библиотеке vm2 , которую часто используют как JavaScript-песочницу для запуска недоверенного кода в Node.js, нашли критическую уязвимость побега из sandbox. Проблема получила идентификатор CVE-2026-22709 и оценку 9.8 по CVSS, а успешная...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

В зоне риска оказались системы, работающие на каждом втором проекте. Разработчики Node.js выпустили обновления для устранения критической уязвимости, которая способна привести к отказу в обслуживании на большинстве приложений, работающих в продакшене. Проблема связана с некорректной...

Вредонос меняет облик гораздо раньше, чем кто-то успевает его заметить. Появление нового вредоносного инструмента в цепочке атак React2Shell стало заметным событием на фоне волны взломов, начавшейся после раскрытия уязвимости CVE-2025-55182 . На этот раз речь идёт о гораздо более сложном...

Новая уязвимость React2Shell в Node.js уже превратила умные дома и серверы по всему миру в охотничьи угодья для ботнетов в стиле Mirai. Новая уязвимость в Node.js, получившая идентификатор CVE-2025-55182 и неофициальное название React2Shell , за считанные дни стала популярным инструментом...

Следы ведут к продавцам краденых данных, превратившим заражение домашних ПК в циничный и прибыльный бизнес. Нежелательные программы, распространяющиеся под видом игрового софта, вновь привлекли внимание ИБ-специалистов. Ботнет Tsundere, появившийся минувшим летом, постепенно расширяет охват и...

Новый вирус нацелен на производственные предприятия и больницы. Новая кампания с использованием вредоносного ПО EvilAI, которую отслеживают специалисты из Trend Micro, показала, как искусственный интеллект превращается в инструмент киберпреступников. В последние недели зафиксированы...

Пентагон доверил критическую инфраструктуру программисту из России. Библиотека fast-glob, используемая в тысячах публичных проектов на Node.js и более чем в тридцати системах Министерства обороны США, оказалась проектом одного единственного разработчика. Его онлайн-профили указывают , что...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

Samlify проверяет подпись и одновременно пускает злоумышленника внутрь. В библиотеке Samlify, предназначенной для интеграции SAML-аутентификации в приложения на Node.js, обнаружена критическая уязвимость , позволяющая обойти систему единого входа (SSO) и получить несанкционированный доступ...

Всего один безобидный клик запускает длинную цепочку неприятностей. TROX Stealer, впервые обнаруженный в декабре 2024 года, стал примером изощрённой вредоносной кампании, нацеленной на кражу чувствительной информации у обычных пользователей. Исследователи из компании Sublime установили ...

Фейковая игра дала дорогу хакерам в системы игроков. На платформе Steam произошел опасный инцидент — игра «Sniper: Phantom's Resolution» оказалась прикрытием для распространения вредоносного ПО. После многочисленных жалоб от пользователей, заметивших заражение системы после установки...

Уникальный баг позволяет захватывать серверные системы без прямого доступа. В популярном npm -пакете под названием systeminformation обнаружена критическая уязвимость, которая ставит под угрозу миллионы Windows -систем, открывая возможность удалённого выполнения кода ( RCE ) и эскалации...

Райан Даль бросил компании вызов, способный разрушить былые IT-устои. Компания Deno Land, разработчик среды выполнения Deno для JavaScript , TypeScript и WebAssembly, подала прошение об отмене товарного знака Oracle на термин «JavaScript» в Ведомство по патентам и товарным знакам США...