npm

Доверие к IT-экосистемам обернулось катастрофой для всей индустрии. Исследователи из Zscaler ThreatLabz обнаружили в официальном репозитории PyPI библиотеку termncolor, которая распространяла вредоносный код через зависимость colorinal. Обе библиотеки уже удалены, однако до этого их успели...

Два трояна в NPM притворяются библиотеками для WhatsApp. Почему их до сих пор не удалили? В экосистеме NPM были обнаружены два вредоносных пакета, замаскированных под библиотеки для разработки ботов и автоматизированных сервисов на базе WhatsApp Business API. Эти модули, выявленные...

Kodane намеренно оставляет мелочь в кошельках жертв, чтобы хватило на оплату комиссии. Вредоносный пакет в экосистеме NPM, обнаруженный специалистами компании Safety, оказался не просто троянцем для кражи криптовалют, а примером атаки, созданной с широкой помощью искусственного...

Пустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root. В первой половине 2025 года компания Sonatype зафиксировала масштабную и продолжающуюся атаку на экосистему открытого ПО, организованную северокорейской группировкой Lazarus . Впервые автоматизированные системы...

Более 1500 разработчиков стали жертвами коварного ИИ-криптовора. Исследователи зафиксировали новую угрозу в экосистеме npm — вредоносный пакет <strong>@kodane/patch-manager</strong>, сгенерированный с использованием искусственного интеллекта и предназначенный для кражи криптовалюты...

Разработчики устанавливали «is», а по факту — приглашали хакера пожить у себя. Компрометация широко используемой библиотеки JavaScript поставила под угрозу миллионы проектов по всему миру. Речь идёт о пакете «is», который на протяжении многих лет оставался незаметным, но критически важным...

Программисты думали, что обновляют софт. А на деле — запустили цифровую гильотину. Хакеры получили доступ к аккаунту организации Toptal на GitHub и использовали его для распространения вредоносного программного обеспечения через официальные каналы. В результате были опубликованы десять...

Даже одно фишинговое письмо способно обрушить безопасность целой экосистемы. В экосистеме npm произошёл громкий инцидент: популярный пакет eslint-config-prettier внезапно обновился без каких-либо изменений на GitHub. Разработчики быстро заподозрили неладное — и не зря. Автор пакета признался...

Вы уверены в своих зависимостях? Хакеры внедрили вредоносный код в популярные пакеты npm, воспользовавшись фишинговой атакой на сопровождающих проекты. Злоумышленники провели фишинговую кампанию, нацеленную на разработчиков, сопровождающих проекты, и похитили их токены доступа к npm. Получив...

Когда «учебный код» учит только одному — не доверяй никому. С начала лета 2025 года злоумышленники, связанные с кампанией Contagious Interview и предположительно действующие в интересах КНДР, вновь активизировались, разместив в реестре npm 67 вредоносных пакетов. Это стало продолжением...

Pull request с невинным названием запустил цепную реакцию, которая едва не привела к катастрофе. Атака на расширение Visual Studio Code под названием Ethcode поставила под угрозу более 6 000 разработчиков по всему миру. Проблема возникла из-за внедрения вредоносного кода в популярный...

Тот случай, когда «удалёнка» означает удалённый доступ к вашему компьютеру. Специалисты в сфере информационной безопасности обнаружили новую волну вредоносных npm-пакетов, связанных с продолжающейся операцией Contagious Interview , которую связывают с Северной Кореей. Об этом сообщила...

PyPI решил помочь с машинным обучением… но только злоумышленникам. На фоне всё более изощрённых атак на программную цепочку поставок, специалисты в сфере информационной безопасности выявили новое вредоносное ПО в официальных репозиториях, включая Python Package Index (PyPI) и npm. Речь идёт...

Код, который не лечит, а калечит. Два вредоносных пакета были обнаружены в популярном реестре JavaScript-библиотек npm. За безобидными названиями скрывались настоящие стиратели данных, которые после активации удаляют все файлы в рабочей директории приложения. Речь идёт о библиотеках под...

Gluestack, NPM, RAT — всё сходится в одну цепочку, и она ведёт к вам. На платформе NPM зафиксирована масштабная атака на цепочку поставок: злоумышленники скомпрометировали 17 популярных пакетов из семейства Gluestack @react-native-aria , встроив в них вредоносный код. Эти пакеты...

Обычная сборка проекта превратилась в лотерею с опасным призом. Исследователи из компании Socket выявили более 60 вредоносных пакетов в реестре npm, которые автоматически собирают данные с устройств пользователей — имена хостов, IP-адреса, DNS-серверы и каталоги пользователей. Вся...

Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке. Злоумышленники вновь атакуют экосистему npm, на этот раз с помощью пакета «os-info-checker-es6» , который маскируется под утилиту для получения информации об операционной системе. Подобная мимикрия...

Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды. Исследователи из компании Socket выявили новую атаку на macOS-версию популярного редактора исходного кода Cursor — злоумышленники распространяют троянизированные библиотеки через npm, обещая «самый дешёвый API...

Пакет маскировался под помощника, но тайно работал на хакеров. Исследователи выявили вредоносный пакет в репозитории PyPI, который замаскирован под утилиту для работы с Discord, но на деле содержит полноценный троян удалённого доступа. Речь идёт о пакете под названием discordpydebug...

Никаких взломов — просто установите пакет и попрощайтесь с данными. В экосистеме программных модулей на языке Go обнаружены три вредоносных компонента, способных привести к полной утрате данных на Linux-системах. Обнаруженные пакеты внешне выглядели как легитимные и не вызывали подозрений у...

Официальное обновление оказалось троянским конём — и он уже в вашем коде. Угроза на уровне цепочки поставок программного кода вновь дала о себе знать: рекомендованная Ripple библиотека «xrpl.js» для работы с блокчейном XRP через JavaScript была скомпрометирована. Вредоносный код в неё...

Клон Telegram API вшивает SSH-бэкдор в систему. Специалисты Socket выявили новую атаку на цепочку поставок ПО — поддельные npm-библиотеки, маскирующиеся под популярный Telegram Bot API, незаметно внедряют SSH-бэкдоры и модули для кражи данных. Telegram стал удобной мишенью для...

Разработчики уже потеряли сотни тысяч, даже не подозревая об этом. Атаки на цепочку поставок программного обеспечения становятся всё изощрённее — злоумышленники маскируют вредоносный код под полезные библиотеки и внедряют его в системы разработчиков. Очередной пример — вредоносный npm-пакет...

Под видом полезных утилит злоумышленники внедряют полноценный шпионский функционал. Северокорейская кибергруппировка, стоящая за кампанией Contagious Interview, вновь активизировалась и расширила свои действия в экосистеме npm. Исследователи безопасности из компании Socket зафиксировали...

Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам. Злоумышленники внедрили новую тактику в атаках на экосистему npm — два вредоносных пакета тайно модифицируют уже установленные на системе легитимные библиотеки, чтобы вшить обратную оболочку и...