NPM
Mini Shai-Hulud заразил 373 пакета, не нарушив ни единого правила публикации
Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего.
Песочница оказалась дырявым ведром. Очередной способ взломать Node.js уже гуляет по сети
Исправить положение дел быстро не выйдет, и на это есть причины.
Хакеры устроили склад краденых секретов и назвали его в честь червя — «Дюна» на GitHub
Ключи от всех тайников незаметно сменили владельца.
Иконки те же, цели иные. Опубликован список из 73 расширений OpenVSX с вредоносным функционалом
Один неверный клик может стоить разработчикам целой инфраструктуры.
«Считайте систему скомпрометированной» — официальный совет Bitwarden тем, кто скачал CLI 22 апреля. Хорошего дня
Атака показала, как быстро взламывают цепочки поставок.
Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
На кону стоят суммы, которые заставляют забыть о правилах приличия.
Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости
Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.
Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу
Изучаем ловушки, обманувшие даже самых бдительных специалистов.
Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов
Привычный запуск кода в терминале превращает личную систему в открытую книгу.
Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился
Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave.
Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор
В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.
Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm
Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.
Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy
Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.
Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа
Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.
Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация
Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.
Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода
Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.
Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm
Сценарии автоматизации превратились в конвейер по краже секретов.
В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента
Под угрозой оказались тысячи рабочих станций по всему миру.
Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX
Теперь внутри кода прячется сюрприз, о котором не знают даже профи.
Вам предложили проект за 800 000? Поздравляем, вас пытаются взломать. История одного «оффера»
Какая деталь в профиле рекрутера должна была насторожить сразу?
«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка
Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.
Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord
Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.
Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов
Злоумышленники годами готовили почву для этого скрытого удара.
Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера
В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены.
197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон
Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты.
Кража токенов или уничтожение диска: Sha1-Hulud ставит ультиматум заражённым системам
Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность.
Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО
Каждый пакет содержал tea.yaml для вывода наград злоумышленникам.
«Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось
Зачем кто-то целых два года загружал на платформу мусорные пакеты?
ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов
Вредоносный код подгружается динамически и сливает секреты по трём каналам связи.
Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm
«Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2.
"God-mode" в руках хакера. Как одна строка кода скомпрометировала сотни компаний
Простой инструмент для ИИ-ассистентов оказался самым коварным бэкдором года.
GitHub объявил войну хакерам и меняет правила игры
Новый механизм публикации навсегда исключит человека из цепочки доверия.
40 популярных пакетов заражены троянами. Отзовите все токены прямо сейчас
Вирус распространяется автоматически и закрепляется в репозиториях навсегда.
Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?
Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом
Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты
Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.
1 коммит — 3000 украденных секретов: что не так с безопасностью на GitHub
API-ключи разработчиков уже могут продаваться в даркнете.
Один импорт — и криптовалюта уплывает к хакерам. Что они нашли в недрах Atomic Wallet?
ИИ-ассистенты теперь не только пишут код, но и рекомендуют, как лучше потерять свои сбережения.
GitHub-автообновления превратились в канал заражения тысяч проектов по всему миру
Доверие к IT-экосистемам обернулось катастрофой для всей индустрии.
Открытый код — шпионская база КНДР. Добро пожаловать в разработку Lazarus
Пустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root.
Установили npm-библиотеку? Поздравляем, Claude только что обобрал вас до биткоина
Более 1500 разработчиков стали жертвами коварного ИИ-криптовора.
Пакет для улучшения кода начал тайно внедрять вредоносные участки в проекты пользователей
Даже одно фишинговое письмо способно обрушить безопасность целой экосистемы.
5 популярных npm-пакетов + 28 протестных модулей = крупнейшая атака на российских разработчиков в 2025 году
Вы уверены в своих зависимостях?
Добро пожаловать на стажировку. Первое задание — отдать криптовалюту и пароли
Когда «учебный код» учит только одному — не доверяй никому.
6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил
Pull request с невинным названием запустил цепную реакцию, которая едва не привела к катастрофе.
Собеседование мечты, GitHub-проект и npm install. Три шага до того, как ваш ПК станет чужим
Тот случай, когда «удалёнка» означает удалённый доступ к вашему компьютеру.
Простой npm install открыл дверь разведке. Разработчики не были готовы.
PyPI решил помочь с машинным обучением… но только злоумышленникам.
rm -rf * — и всё исчезает: npm заражён опасным «лечебным» модулем
Код, который не лечит, а калечит.
npm install → npm regret: зачем 3000 разработчиков внедрили бэкдор в свои проекты
Обычная сборка проекта превратилась в лотерею с опасным призом.
NPM снова подвёл — пакет притворился утилитой, общался через календарь и даже не пытался быть полезным
Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке.
Хотите дешёвый доступ к ИИ-функциям Cursor? Вот и хакеры хотят… внедрить бэкдор на ваш Mac
Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды.
Псевдо-библиотека для Discord оказалась трояном и PyPI снова делает вид что не при делах
Пакет маскировался под помощника, но тайно работал на хакеров.
Что общего у Go, npm и PyPI? Новый способ убивать Linux-серверы
Никаких взломов — просто установите пакет и попрощайтесь с данными.
Сделал Telegram-бота — получил бэкдор и утечку данных в подарок
Клон Telegram API вшивает SSH-бэкдор в систему.
Хотел «.doc», отдал «биток»: новый зловредный пакет штурмует npm
Разработчики уже потеряли сотни тысяч, даже не подозревая об этом.
RAT в оболочке дебаггера: чем опасны новые пакеты Lazarus Group
Под видом полезных утилит злоумышленники внедряют полноценный шпионский функционал.
Бессмертные бэкдоры: новая тактика атак на экосистему npm
Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам.
Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm
Обман под видом полезных инструментов разрушил доверие к популярной платформе.
Имя Wi-Fi сети как оружие: обнаружена угроза массовых взломов
Уникальный баг позволяет захватывать серверные системы без прямого доступа.
Chalk: фальшивый NPM-пакет обманул сотни разработчиков
Зараженный клон нацелен на кражу данных программистов.
Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта
Новые версии плагина стали ловушкой для пользователей.
Три пакета, сотни загрузок: КНДР внедряет BeaverTail в репозитории для разработчиков
Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.
Логотипы Intel, AMD и Microsoft атакуют разработчиков
На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.
1,5 часа ужаса: новая молниеносная тактика северокорейских хакеров
Специалисты раскрывают стратегию блиц-атаки против разработчиков.
«Glup-debugger-log»: ложный друг разработчика, ворующий контроль над ПК
Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?
Manifest Confusion: на платформе npm выявлено больше 800 пакетов «с сюрпризом»
Хакеры бьют по разработчикам, ожидая затронуть программную цепочку поставок.
npm-модули против разработчиков: GitHub в роли склада краденого
Злоумышленники придумали хитрый способ распространять скрипты через GitHub
Пакет “oscompatible” в npm оказался ловушкой: как он устанавливает скрытый троян на компьютерах с Windows и дает злоумышленникам удаленный доступ
Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.
В 2023 году программы для разработки ПО стали самым лакомым кусочком для хакеров
Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?
Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
Красный код для GitHub: 15 000 репозиториев Go на грани компрометации
VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.
Новый репозиторий OpenSSF поможет предотвратить кибератаки на цепочку поставок ПО
Проект OpenSSF будет отслеживать вредоносные пакеты разработки.
DiscordRAT 2.0 и r77 против разработчиков: ударили там, откуда не ждали
Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.
NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными
Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.
Кибератаки на банки через цепочку поставок ПО: новый тренд в киберпреступности?
Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов.
Опасность из облака: заброшенные хранилища AWS S3 распространяют вредоносный код через пакеты npm
Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО.
Галлюцинации ChatGPT могут использоваться для распространения вредоносных NPM-пакетов
Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.
Вредоносные пакеты NuGet с 150 000 загрузками заражают .NET-разработчиков
Вредоносные пакеты предназначены для кражи криптовалюты специалистов.
Исследователи взломали популярный NPM-пакет с миллионами загрузок
Эксперты позволили посмотреть на безопасность разработки с другой стороны.
Репозитории открытого ПО наводнены десятками тысяч вредоносных пакетов
Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet.
Невидимые вредоносные NPM-пакеты: просто добавь дефис
Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.
Как хакеры используют Discord, YouTube и GitHub в ходе массовой кражи учетных данных
Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.
Обнаружен новый вредоносный NPM-пакет, выдающий себя за CSS-пакет Material Tailwind
Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Федеральные власти США выпустили руководство по защите цепочек поставок npm
Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.
Для защиты NPM от атак на цепочки поставок планируется использовать сервис Sigstore
Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.
Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений
Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.
GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm
Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.
Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI
Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.
Уязвимость в NPM позволяла распространять вредоносное ПО под видом легитимных пакетов
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.
Разработчик event-source-polyfill разослал россиянам послание через новую версию библиотеки
Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.
Команда NPM обязала разработчиков популярных пакетов включить 2FA
Новое требование вступило в силу 1 февраля 2022 года.
Разработчик испортил свой проект с целью «наказать» корпорации
Действия разработчика привели к нарушению работы тысяч зависящих проектов.
Команда npm удалила 17 вредоносных JavaScript-библиотек
Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.
Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox
Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.
Microsoft опять попалась на «подстановочную атаку»
Исследователь мог выполнять команды на домене halowaypoint.com, связанном с серией видеоигр Halo.
Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО
Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.
Обнаружена критическая уязвимость в популярной npm-библиотеке netmask
Проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера до удаленного доступа.
Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет
По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.
Microsoft предупредила о новом типе атак на цепочку поставок
Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
Вредоносный пакет npm похищает переписку в Discord
На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.
Три вредоносных пакета npm могут полностью скомпрометировать компьютер
Библиотеки открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты.
На портале npm обнаружено четыре пакета с вредоносным кодом
Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.
Вредоносный пакет npm похищает данные с UNIX-подобных систем
Из репозитория npm удален вредоносный пакет, пробывший там две недели.
В npm обнаружен вредоносный пакет, похищающий учетные данные
Вредоносный пакет bb-builder находился в npm в течение года.
Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm
Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.
Неизвестные попытались спрятать бэкдор в популярном пакете npm
Бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его.
Установка обновления npm может закончиться вынужденной переустановкой системы
Ошибка в npm v5.7.0 вызывает переназначения права владения системными папками