NPM
Установил пакет — отдал кошелёк. Как через экосистему Mastra заразили 140+ npm-библиотек и начали охотиться за криптовалютой
На части заражённых Windows-машин обнаружили PowerShell-бэкдор с правами SYSTEM.
Никто не ждал подвоха от официального пакета. Теперь разработчикам советуют спасать криптокошельки
Чтобы не потерять активы, действовать необходимо без промедлений.
Фото ваше, код чужой. Почему интерфейсу GitHub больше нельзя верить на слово
Платформа отказывается исправлять уязвимость ради мнимого удобства.
Срочно меняйте ключи: Red Hat оказалась в центре атаки на цепочку поставок через npm
Сразу 95 официальных пакетов внезапно превратились в шпионов.
В npm нашли 14 вредоносных пакетов. Microsoft советует разработчикам срочно заменить ключи AWS и GitHub Actions
Банальная опечатка при поиске нужной утилиты приводила к немедленному взлому системы.
Роботам тут не рады. Платформа npm больше не доверяет автоматическим сборкам без одобрения человека
Участившиеся хакерские атаки заставили создателей сервиса действовать предельно жёстко.
Внутренний инструмент стал публичным. Perplexity AI открыла Bumblebee — сканер безопасности для рабочих машин разработчиков
Bumblebee позволяет обнаруживать вредоносные пакеты и расширения без запуска стороннего кода.
Атака на iPhone без единого клика со стороны жертвы. Скрытый код в Safari помогает злоумышленникам обчищать чужие кошельки
Жертве достаточно открыть заражённую ссылку, чтобы мгновенно лишиться всех цифровых накоплений.
639 вредоносных версий за 60 минут. Вот как глубоко зашла новая атака на npm
Эксперты бьют тревогу: хакеры использовали не банальный взлом, а сложную многоуровневую цепочку.
Два миллиона установок и один хитрый вирус. Популярный плагин для VSCode оказался шпионской ловушкой
Индустрия расплачивается за невнимательность создателей Nx Console.
Shai-Hulud в открытом доступе. Теперь любой желающий может похищать токены GitHub, SSH-ключи и криптокошельки — инструкция прилагается
Астрологи объявили неделю атак на цепочку поставок.
«Торг уместен»: хакеры взломали ИИ-компанию, украли 5 ГБ кода и устроили аукцион в даркнете
Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово?
Хотели обновиться — получили бэкдор. Как так вышло, что node-ipc теперь охотится за паролями разработчиков
История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы.
Mini Shai-Hulud заразил 373 пакета, не нарушив ни единого правила публикации
Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего.
Песочница оказалась дырявым ведром. Очередной способ взломать Node.js уже гуляет по сети
Исправить положение дел быстро не выйдет, и на это есть причины.
Хакеры устроили склад краденых секретов и назвали его в честь червя — «Дюна» на GitHub
Ключи от всех тайников незаметно сменили владельца.
Иконки те же, цели иные. Опубликован список из 73 расширений OpenVSX с вредоносным функционалом
Один неверный клик может стоить разработчикам целой инфраструктуры.
«Считайте систему скомпрометированной» — официальный совет Bitwarden тем, кто скачал CLI 22 апреля. Хорошего дня
Атака показала, как быстро взламывают цепочки поставок.
Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
На кону стоят суммы, которые заставляют забыть о правилах приличия.