npm

Атака показала, как быстро взламывают цепочки поставок. За несколько дней атаки на цепочки поставок задели сразу несколько популярных инструментов для разработчиков. Теперь под удар попал Bitwarden : злоумышленники внедрили вредоносный код в CLI-утилиту менеджера паролей и успели...

На кону стоят суммы, которые заставляют забыть о правилах приличия. На npm обнаружили вредоносный пакет, который маскируется под безобидный инструмент для логирования, но на деле открывает доступ к криптокошелькам и серверам разработчиков. Атака нацелена на узкую аудиторию — авторов...

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют. Разработчики криптосервисов столкнулись с неприятным сюрпризом: один из релизов популярного пакета для работы с децентрализованной биржей Velora оказался заражён. Проблема затронула не всю линейку, а только одну версию, но...

Изучаем ловушки, обманувшие даже самых бдительных специалистов. Северокорейская кампания Contagious Interview вышла далеко за пределы привычных площадок и начала маскировать вредоносные пакеты сразу в нескольких экосистемах разработки. Под видом безобидных библиотек для логирования...

Привычный запуск кода в терминале превращает личную систему в открытую книгу. Попытка устроиться на работу разработчиком может обернуться заражением системы — новая волна атак маскируется под тестовые задания и репозитории с кодом. За внешне безобидными проектами скрывается вредоносная...

Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave. В каталоге npm появился на первый взгляд безобидный пакет для проверки токенов Google Gemini, но за простым описанием скрывался полноценный вредоносный инструмент с доступом к системе разработчика. 20 марта 2026 года пользователь...

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа. Популярная библиотека axios, без которой трудно представить современную веб-разработку, неожиданно оказалась в центре серьёзной атаки. Злоумышленники внедрили вредоносный код прямо в официальные версии пакета, и...

Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать. Атака на один популярный инструмент незаметно превратилась в цепную реакцию, которая теперь заражает пакеты по всей экосистеме npm . Вредоносный код не просто прячется в отдельных библиотеках, а сам...

Злоумышленники научились доставать секреты прямо из оперативной памяти серверов. Одна атака на инструмент разработчиков за сутки переросла в цепную реакцию, которая затронула уже десятки проектов. Сначала злоумышленники взломали популярный сканер уязвимостей Trivy и встроили в него код для...

Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит. Кампания PhantomRaven, нацеленная на разработчиков через каталог npm, получила продолжение. Специалисты обнаружили ещё три волны атак, в рамках которых злоумышленник разместил десятки вредоносных...

Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source. У крупнейшего в мире реестра JavaScript-пакетов появился неожиданный конкурент. Разработчики запустили в альфа-версии новый браузер пакетов для npm под названием npmx, и интерес к проекту быстро...

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера. Вредоносный пакет в публичном реестре npm всего за несколько дней успел набрать десятки тысяч установок и показал, насколько быстро распространяется риск для цепочки поставок даже без взлома популярных библиотек...

Сценарии автоматизации превратились в конвейер по краже секретов. Команда Socket описала активную кампанию в экосистеме npm , которая маскируется под популярные пакеты и превращает случайную установку зависимости в цепочку компрометации репозиториев и CI. Атаку отслеживают под именем...

Под угрозой оказались тысячи рабочих станций по всему миру. В реестре npm произошёл инцидент с инструментом Cline CLI — в течение нескольких часов пользователям распространяли версию с изменённым сценарием установки. Разработчики подтвердили, что доступ к токену публикации оказался...

Хакеры из КНДР научились незаметно подменять расширения в Chrome. Северокорейские злоумышленники пытаются подменять расширение криптокошелька <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Meta</span>Mask прямо на компьютере жертвы, и...

Теперь внутри кода прячется сюрприз, о котором не знают даже профи. Аналитики Socket обнаружили целевую атаку на цепочку поставок библиотек для работы с криптобиржей dYdX. Вредоносные версии клиентских пакетов одновременно появились в репозиториях npm и PyPI после компрометации учётной...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

Какая деталь в профиле рекрутера должна была насторожить сразу? Разработчик Дэниел Тофан рассказал о попытке заразить его компьютер через «выгодное» предложение работы в <span class="blocked-highlight" title="Соцсеть заблокирована на территории РФ">LinkedIn</span>. 21 января 2026 года ему...

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам. Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для...

Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках. Специалисты Zscaler выявили новую кампанию с использованием популярных тем в криптовалютной сфере. В официальном репозитории npm были обнаружены три вредоносные библиотеки, распространяющие ранее неизвестную программу...

Злоумышленники годами готовили почву для этого скрытого удара. Крупная кампания по компрометации цепочек поставок, известная как Shai-Hulud, оказалась связана с недавней кражей криптовалюты на сумму около 8,5 миллионов долларов из более чем 2500 кошельков Trust Wallet. Команда компании...

В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены. В репозитории npm обнаружили вредоносный пакет lotusbail, который выдаёт себя за библиотеку для работы с WhatsApp Web и при этом незаметно крадёт переписки и даёт...

Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты. Северокорейская вредоносная кампания Contagious Interview продолжает наращивать давление на экосистему JavaScript-разработки. Участники хакерских группировок из КНДР массово загружают в репозиторий npm...

Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность. В экосистеме npm вновь фиксируется масштабная вредоносная активность. На этот раз речь идёт о второй волне атаки Shai-Hulud , которая повторяет логику сентябрьской кампании, но...

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам. В экосистеме npm обнаружили одну из крупнейших атак на цепочку поставок за всю историю открытых репозиториев. Исследователи Amazon говорят о беспрецедентном «затоплении» реестра пакетами, но у этой кампании есть...