NPM
Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
На кону стоят суммы, которые заставляют забыть о правилах приличия.
Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости
Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.
Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу
Изучаем ловушки, обманувшие даже самых бдительных специалистов.
Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов
Привычный запуск кода в терминале превращает личную систему в открытую книгу.
Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился
Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave.
Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор
В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.
Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm
Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.
Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy.
Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.
Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа
Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.
Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация
Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.
Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода
Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.
Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm
Сценарии автоматизации превратились в конвейер по краже секретов.
В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента
Под угрозой оказались тысячи рабочих станций по всему миру.
Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX
Теперь внутри кода прячется сюрприз, о котором не знают даже профи.
Вам предложили проект за 800 000? Поздравляем, вас пытаются взломать. История одного «оффера»
Какая деталь в профиле рекрутера должна была насторожить сразу?
«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка
Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.
Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord
Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.
Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов
Злоумышленники годами готовили почву для этого скрытого удара.
Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера
В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены.
197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон
Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты.
Кража токенов или уничтожение диска: Sha1-Hulud ставит ультиматум заражённым системам
Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность.
Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО
Каждый пакет содержал tea.yaml для вывода наград злоумышленникам.
«Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось
Зачем кто-то целых два года загружал на платформу мусорные пакеты?
ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов
Вредоносный код подгружается динамически и сливает секреты по трём каналам связи.
Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm
«Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2.
"God-mode" в руках хакера. Как одна строка кода скомпрометировала сотни компаний
Простой инструмент для ИИ-ассистентов оказался самым коварным бэкдором года.
GitHub объявил войну хакерам и меняет правила игры
Новый механизм публикации навсегда исключит человека из цепочки доверия.
40 популярных пакетов заражены троянами. Отзовите все токены прямо сейчас
Вирус распространяется автоматически и закрепляется в репозиториях навсегда.
Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?
Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом
Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты
Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.
1 коммит — 3000 украденных секретов: что не так с безопасностью на GitHub
API-ключи разработчиков уже могут продаваться в даркнете.
Один импорт — и криптовалюта уплывает к хакерам. Что они нашли в недрах Atomic Wallet?
ИИ-ассистенты теперь не только пишут код, но и рекомендуют, как лучше потерять свои сбережения.
GitHub-автообновления превратились в канал заражения тысяч проектов по всему миру
Доверие к IT-экосистемам обернулось катастрофой для всей индустрии.
Открытый код — шпионская база КНДР. Добро пожаловать в разработку Lazarus
Пустил зависимость — получил бэкдор, а ещё слежку, дампы, и выход на root.
Установили npm-библиотеку? Поздравляем, Claude только что обобрал вас до биткоина
Более 1500 разработчиков стали жертвами коварного ИИ-криптовора.
Пакет для улучшения кода начал тайно внедрять вредоносные участки в проекты пользователей
Даже одно фишинговое письмо способно обрушить безопасность целой экосистемы.
5 популярных npm-пакетов + 28 протестных модулей = крупнейшая атака на российских разработчиков в 2025 году
Вы уверены в своих зависимостях?
Добро пожаловать на стажировку. Первое задание — отдать криптовалюту и пароли
Когда «учебный код» учит только одному — не доверяй никому.
6000 разработчиков стали жертвами из-за двух строк кода — и никто ничего не заметил
Pull request с невинным названием запустил цепную реакцию, которая едва не привела к катастрофе.
Собеседование мечты, GitHub-проект и npm install. Три шага до того, как ваш ПК станет чужим
Тот случай, когда «удалёнка» означает удалённый доступ к вашему компьютеру.
Простой npm install открыл дверь разведке. Разработчики не были готовы.
PyPI решил помочь с машинным обучением… но только злоумышленникам.
rm -rf * — и всё исчезает: npm заражён опасным «лечебным» модулем
Код, который не лечит, а калечит.
npm install → npm regret: зачем 3000 разработчиков внедрили бэкдор в свои проекты
Обычная сборка проекта превратилась в лотерею с опасным призом.
NPM снова подвёл — пакет притворился утилитой, общался через календарь и даже не пытался быть полезным
Он сидел тихо до последней версии, а потом начал шептать что-то на незнакомом языке.
Хотите дешёвый доступ к ИИ-функциям Cursor? Вот и хакеры хотят… внедрить бэкдор на ваш Mac
Вы даже не заметите, как ваш редактор кода начнёт выполнять чужие команды.
Псевдо-библиотека для Discord оказалась трояном и PyPI снова делает вид что не при делах
Пакет маскировался под помощника, но тайно работал на хакеров.
Что общего у Go, npm и PyPI? Новый способ убивать Linux-серверы
Никаких взломов — просто установите пакет и попрощайтесь с данными.
Сделал Telegram-бота — получил бэкдор и утечку данных в подарок
Клон Telegram API вшивает SSH-бэкдор в систему.
Хотел «.doc», отдал «биток»: новый зловредный пакет штурмует npm
Разработчики уже потеряли сотни тысяч, даже не подозревая об этом.
RAT в оболочке дебаггера: чем опасны новые пакеты Lazarus Group
Под видом полезных утилит злоумышленники внедряют полноценный шпионский функционал.
Бессмертные бэкдоры: новая тактика атак на экосистему npm
Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам.
Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm
Обман под видом полезных инструментов разрушил доверие к популярной платформе.
Имя Wi-Fi сети как оружие: обнаружена угроза массовых взломов
Уникальный баг позволяет захватывать серверные системы без прямого доступа.
Chalk: фальшивый NPM-пакет обманул сотни разработчиков
Зараженный клон нацелен на кражу данных программистов.
Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта
Новые версии плагина стали ловушкой для пользователей.
Три пакета, сотни загрузок: КНДР внедряет BeaverTail в репозитории для разработчиков
Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.
Логотипы Intel, AMD и Microsoft атакуют разработчиков
На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.
1,5 часа ужаса: новая молниеносная тактика северокорейских хакеров
Специалисты раскрывают стратегию блиц-атаки против разработчиков.
«Glup-debugger-log»: ложный друг разработчика, ворующий контроль над ПК
Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?
Manifest Confusion: на платформе npm выявлено больше 800 пакетов «с сюрпризом»
Хакеры бьют по разработчикам, ожидая затронуть программную цепочку поставок.
npm-модули против разработчиков: GitHub в роли склада краденого
Злоумышленники придумали хитрый способ распространять скрипты через GitHub
Пакет “oscompatible” в npm оказался ловушкой: как он устанавливает скрытый троян на компьютерах с Windows и дает злоумышленникам удаленный доступ
Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.
В 2023 году программы для разработки ПО стали самым лакомым кусочком для хакеров
Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?
Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm
Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.
Красный код для GitHub: 15 000 репозиториев Go на грани компрометации
VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.
Новый репозиторий OpenSSF поможет предотвратить кибератаки на цепочку поставок ПО
Проект OpenSSF будет отслеживать вредоносные пакеты разработки.
DiscordRAT 2.0 и r77 против разработчиков: ударили там, откуда не ждали
Хакерские инструменты с открытым исходным кодом всё чаще используются в реальных атаках.
NPM-пакеты стали платными: теперь платить нужно SSH-ключами и данными
Под видом доверенных библиотек злоумышленники пытаются атаковать цепочки поставок ПО.
Кибератаки на банки через цепочку поставок ПО: новый тренд в киберпреступности?
Банкам нужно усилить защиту, чтобы защитить данные и деньги своих клиентов.
Опасность из облака: заброшенные хранилища AWS S3 распространяют вредоносный код через пакеты npm
Если вы забыли про свой S3-бакет, он может стать источником вредоносного ПО.
Галлюцинации ChatGPT могут использоваться для распространения вредоносных NPM-пакетов
Хакер может "сломать" ChatGPT и заставить его рекомендовать пользователям скачать вредоносный пакет.
Вредоносные пакеты NuGet с 150 000 загрузками заражают .NET-разработчиков
Вредоносные пакеты предназначены для кражи криптовалюты специалистов.
Исследователи взломали популярный NPM-пакет с миллионами загрузок
Эксперты позволили посмотреть на безопасность разработки с другой стороны.
Репозитории открытого ПО наводнены десятками тысяч вредоносных пакетов
Неизвестные загрузили 144 294 фишинговых пакетов в NPM, PyPI и NuGet.
Невидимые вредоносные NPM-пакеты: просто добавь дефис
Новый способ обхода проверок безопасности был обнаружен исследователями из JFrog.
Как хакеры используют Discord, YouTube и GitHub в ходе массовой кражи учетных данных
Злоумышленники продают инструменты для взлома, но платить нужно не деньгами.
Обнаружен новый вредоносный NPM-пакет, выдающий себя за CSS-пакет Material Tailwind
Фейковый пакет даже имитирует функционал оригинала, чтобы обмануть жертву.
Федеральные власти США выпустили руководство по защите цепочек поставок npm
Так правительство США и OpenSSF пытаются избежать повтора SolarWinds.
Для защиты NPM от атак на цепочки поставок планируется использовать сервис Sigstore
Sigstore – cервис, используемый для верификации ПО с помощью цифровых подписей.
Простая атака на цепочку поставок скомпрометировала тысячи веб-сайтов и приложений
Злоумышленники пытались нарушить цепочку поставок npm с помощью десятков вредоносных модулей.
GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm
Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.
Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI
Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.
Уязвимость в NPM позволяла распространять вредоносное ПО под видом легитимных пакетов
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.
Разработчик event-source-polyfill разослал россиянам послание через новую версию библиотеки
Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.
Команда NPM обязала разработчиков популярных пакетов включить 2FA
Новое требование вступило в силу 1 февраля 2022 года.
Разработчик испортил свой проект с целью «наказать» корпорации
Действия разработчика привели к нарушению работы тысяч зависящих проектов.
Команда npm удалила 17 вредоносных JavaScript-библиотек
Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.
Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox
Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.
Microsoft опять попалась на «подстановочную атаку»
Исследователь мог выполнять команды на домене halowaypoint.com, связанном с серией видеоигр Halo.
Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО
Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.
Обнаружена критическая уязвимость в популярной npm-библиотеке netmask
Проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера до удаленного доступа.
Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет
По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.
Microsoft предупредила о новом типе атак на цепочку поставок
Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
Вредоносный пакет npm похищает переписку в Discord
На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.
Три вредоносных пакета npm могут полностью скомпрометировать компьютер
Библиотеки открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты.
На портале npm обнаружено четыре пакета с вредоносным кодом
Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.
Вредоносный пакет npm похищает данные с UNIX-подобных систем
Из репозитория npm удален вредоносный пакет, пробывший там две недели.
В npm обнаружен вредоносный пакет, похищающий учетные данные
Вредоносный пакет bb-builder находился в npm в течение года.
Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm
Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.
Неизвестные попытались спрятать бэкдор в популярном пакете npm
Бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его.
Установка обновления npm может закончиться вынужденной переустановкой системы
Ошибка в npm v5.7.0 вызывает переназначения права владения системными папками