Security Lab

NPM

1629
NPM
NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение

Chalk: фальшивый NPM-пакет обманул сотни разработчиков

Зараженный клон нацелен на кражу данных программистов.

Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта

Новые версии плагина стали ловушкой для пользователей.

Три пакета, сотни загрузок: КНДР внедряет BeaverTail в репозитории для разработчиков

Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.

Логотипы Intel, AMD и Microsoft атакуют разработчиков

На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.

1,5 часа ужаса: новая молниеносная тактика северокорейских хакеров

Специалисты раскрывают стратегию блиц-атаки против разработчиков.

«Glup-debugger-log»: ложный друг разработчика, ворующий контроль над ПК

Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?

Manifest Confusion: на платформе npm выявлено больше 800 пакетов «с сюрпризом»

Хакеры бьют по разработчикам, ожидая затронуть программную цепочку поставок.

npm-модули против разработчиков: GitHub в роли склада краденого

Злоумышленники придумали хитрый способ распространять скрипты через GitHub

Пакет “oscompatible” в npm оказался ловушкой: как он устанавливает скрытый троян на компьютерах с Windows и дает злоумышленникам удаленный доступ

Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.

В 2023 году программы для разработки ПО стали самым лакомым кусочком для хакеров

Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?

Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm

Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.

Красный код для GitHub: 15 000 репозиториев Go на грани компрометации

VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.

Новый репозиторий OpenSSF поможет предотвратить кибератаки на цепочку поставок ПО

Проект OpenSSF будет отслеживать вредоносные пакеты разработки.

DiscordRAT 2.0 и r77 против разработчиков: ударили там, откуда не ждали

Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.

NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными

Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.

Кибератаки на банки через цепочку поставок ПО: новый тренд в киберпреступности?

Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов.

Опасность из облака: заброшенные хранилища AWS S3 распространяют вредоносный код через пакеты npm

Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО.

Галлюцинации ChatGPT могут использоваться для распространения вредоносных NPM-пакетов

Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.

Вредоносные пакеты NuGet с 150 000 загрузками заражают .NET-разработчиков

Вредоносные пакеты предназначены для кражи криптовалюты специалистов.

Исследователи взломали популярный NPM-пакет с миллионами загрузок

Эксперты позволили посмотреть на безопасность разработки с другой стороны.

Репозитории открытого ПО наводнены десятками тысяч вредоносных пакетов

Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet.

Невидимые вредоносные NPM-пакеты: просто добавь дефис

Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.

Как хакеры используют Discord, YouTube и GitHub в ходе массовой кражи учетных данных

Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.

Обнаружен новый вредоносный NPM-пакет, выдающий себя за CSS-пакет Material Tailwind

Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.

Федеральные власти США выпустили руководство по защите цепочек поставок npm

Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.

Security Week 2232: вредоносные npm-пакеты

Для защиты NPM от атак на цепочки поставок планируется использовать сервис Sigstore

Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.

Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений

Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.

GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm

Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.

Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI

Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.

Уязвимость в NPM позволяла распространять вредоносное ПО под видом легитимных пакетов

Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.

Разработчик event-source-polyfill разослал россиянам послание через новую версию библиотеки

Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.

Команда NPM обязала разработчиков популярных пакетов включить 2FA

Новое требование вступило в силу 1 февраля 2022 года.

Разработчик испортил свой проект с целью «наказать» корпорации

Действия разработчика привели к нарушению работы тысяч зависящих проектов.

Команда npm удалила 17 вредоносных JavaScript-библиотек

Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.

Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox

Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.

Microsoft опять попалась на «подстановочную атаку»

Исследователь мог выполнять команды на домене halowaypoint.com, связанном с серией видеоигр Halo.

Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО

Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.

Обнаружена критическая уязвимость в популярной npm-библиотеке netmask

Проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера до удаленного доступа.

Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет

По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.

Microsoft предупредила о новом типе атак на цепочку поставок

Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.

Вредоносный пакет npm похищает переписку в Discord

На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.

Три вредоносных пакета npm могут полностью скомпрометировать компьютер

Библиотеки открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты.

На портале npm обнаружено четыре пакета с вредоносным кодом

Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.

Вредоносный пакет npm похищает данные с UNIX-подобных систем

Из репозитория npm удален вредоносный пакет, пробывший там две недели.

В npm обнаружен вредоносный пакет, похищающий учетные данные

Вредоносный пакет bb-builder находился в npm в течение года.

Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm

Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.

Неизвестные попытались спрятать бэкдор в популярном пакете npm

Бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его.

Установка обновления npm может закончиться вынужденной переустановкой системы

Ошибка в npm v5.7.0 вызывает переназначения права владения системными папками