Security Lab

NPM

NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

Песочница оказалась дырявым ведром. Очередной способ взломать Node.js уже гуляет по сети

Исправить положение дел быстро не выйдет, и на это есть причины.

Хакеры устроили склад краденых секретов и назвали его в честь червя — «Дюна» на GitHub

Ключи от всех тайников незаметно сменили владельца.

Иконки те же, цели иные. Опубликован список из 73 расширений OpenVSX с вредоносным функционалом

Один неверный клик может стоить разработчикам целой инфраструктуры.

«Считайте систему скомпрометированной» — официальный совет Bitwarden тем, кто скачал CLI 22 апреля. Хорошего дня

Атака показала, как быстро взламывают цепочки поставок.

Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов

На кону стоят суммы, которые заставляют забыть о правилах приличия.

Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.

Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу

Изучаем ловушки, обманувшие даже самых бдительных специалистов.

Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов

Привычный запуск кода в терминале превращает личную систему в открытую книгу.

Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился

Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave.

Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.

Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm

Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.

Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy

Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.

Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа

Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.

Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация

Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.

Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.

Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm

Сценарии автоматизации превратились в конвейер по краже секретов.

В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента

Под угрозой оказались тысячи рабочих станций по всему миру.

Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX

Теперь внутри кода прячется сюрприз, о котором не знают даже профи.

Вам предложили проект за 800 000? Поздравляем, вас пытаются взломать. История одного «оффера»

Какая деталь в профиле рекрутера должна была насторожить сразу?