npm

Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source. У крупнейшего в мире реестра JavaScript-пакетов появился неожиданный конкурент. Разработчики запустили в альфа-версии новый браузер пакетов для npm под названием npmx, и интерес к проекту быстро...

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера. Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек...

Сценарии автоматизации превратились в конвейер по краже секретов. Команда Socket описала активную кампанию в экосистеме npm , которая маскируется под популярные пакеты и превращает случайную установку зависимости в цепочку компрометации репозиториев и CI. Атаку отслеживают под именем...

Под угрозой оказались тысячи рабочих станций по всему миру. В реестре npm произошёл инцидент с инструментом Cline CLI — в течение нескольких часов пользователям распространяли версию с изменённым сценарием установки. Разработчики подтвердили, что доступ к токену публикации оказался...

Хакеры из КНДР научились незаметно подменять расширения в Chrome. Северокорейские злоумышленники пытаются подменять расширение криптокошелька <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask прямо на компьютере жертвы, и...

Теперь внутри кода прячется сюрприз, о котором не знают даже профи. Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам. Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для...

Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках. Специалисты Zscaler выявили новую кампанию с использованием популярных тем в криптовалютной сфере. В официальном репозитории npm были обнаружены три вредоносные библиотеки, распространяющие ранее неизвестную программу...

Злоумышленники годами готовили почву для этого скрытого удара. Крупная кампания по компрометации цепочек поставок, известная как Shai-Hulud, оказалась связана с недавней кражей криптовалюты на сумму около 8,5 миллионов долларов из более чем 2500 кошельков Trust Wallet. Команда компании...

В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены. В репозитории npm обнаружили вредоносный пакет lotusbail, который выдаёт себя за библиотеку для работы с WhatsApp Web и при этом незаметно крадёт переписки и даёт...

Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты. Северокорейская вредоносная кампания Contagious Interview продолжает наращивать давление на экосистему JavaScript-разработки. Участники хакерских группировок из КНДР массово загружают в репозиторий npm...

Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность. В экосистеме npm вновь фиксируется масштабная вредоносная активность. На этот раз речь идёт о второй волне атаки Shai-Hulud , которая повторяет логику сентябрьской кампании, но...

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам. В экосистеме npm обнаружили одну из крупнейших атак на цепочку поставок за всю историю открытых репозиториев. Исследователи Amazon говорят о беспрецедентном «затоплении» реестра пакетами, но у этой кампании есть...

Зачем кто-то целых два года загружал на платформу мусорные пакеты? Появление десятков тысяч фиктивных пакетов в экосистеме npm неожиданно превратилось в долгую и труднообъяснимую историю, начавшуюся ещё в 2024 году. Специалисты заметили, что к каталогу JavaScript-библиотек за два года...

Один «npm install» — и хакеры получают полный контроль над всей цепочкой поставок. Активная кампания «PhantomRaven» нацелилась на разработчиков через репозиторий npm и за короткое время разнесла по экосистеме десятки вредоносных пакетов. Встроенный в них зловредный код собирает токены...

«Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2. В октябре 2025 года специалисты «Лаборатории Касперского» обнаружили в популярном хранилище открытого программного обеспечения npm вредоносный пакет https-proxy-utils. Он был замаскирован под...

Простой инструмент для ИИ-ассистентов оказался самым коварным бэкдором года. Разработчики привыкли доверять инструментам, которые помогают их ИИ-ассистентам брать на себя рутинные задачи — от отправки писем до работы с базами данных. Но это доверие оказалось уязвимостью: пакет postmark-mcp...

QR-код превратился в полноценный контейнер для исполнения вредоносного скрипта. Команда Socket Threat Research обнаружила новый вредоносный NPM-пакет под названием fezbox, опубликованный пользователем с ником janedu. Пакет позиционируется как безобидная библиотека, но внутри скрыт необычный...

Новый механизм публикации навсегда исключит человека из цепочки доверия. GitHub анонсировала масштабные изменения в системе аутентификации и публикации пакетов в npm, направленные на усиление защиты от атак на цепочку поставок. Причиной обновлений стала недавняя кампания Shai-Hulud —...

Хотели «Hello, world» — получили «Hello, worm». В экосистеме JavaScript обнаружен опасный червь под названием Shai-Hulud, заразивший как минимум 187 пакетов в репозитории NPM. Его особенность в том, что он не просто крадёт учётные данные разработчиков, но и самостоятельно распространяется...

Вирус распространяется автоматически и закрепляется в репозиториях навсегда. Исследователи компании Socket сообщили о новой атаке на экосистему npm, в результате которой более 40 пакетов оказались заражены встроенным вредоносным кодом. Механизм компрометации был тщательно продуман...

Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент...

Атака на мейнтейнера через поддельное уведомление 2FA позволила внедрить вредоносный код. Как минимум 18 популярных JavaScript-пакетов на NPM с совокупной недельной аудиторией свыше 2 миллиардов загрузок на короткое время оказались с вредоносными вставками — после фишинг-атаки одного из...