Security Lab

NPM

NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

Псевдо-библиотека для Discord оказалась трояном и PyPI снова делает вид что не при делах

Пакет маскировался под помощника, но тайно работал на хакеров.

Что общего у Go, npm и PyPI? Новый способ убивать Linux-серверы

Никаких взломов — просто установите пакет и попрощайтесь с данными.

Сделал Telegram-бота — получил бэкдор и утечку данных в подарок

Клон Telegram API вшивает SSH-бэкдор в систему.

Хотел «.doc», отдал «биток»: новый зловредный пакет штурмует npm

Разработчики уже потеряли сотни тысяч, даже не подозревая об этом.

RAT в оболочке дебаггера: чем опасны новые пакеты Lazarus Group

Под видом полезных утилит злоумышленники внедряют полноценный шпионский функционал.

Бессмертные бэкдоры: новая тактика атак на экосистему npm

Инновационный метод позволяет хакерам навсегда сохранить доступ к скомпрометированным системам.

Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm

Обман под видом полезных инструментов разрушил доверие к популярной платформе.

Имя Wi-Fi сети как оружие: обнаружена угроза массовых взломов

Уникальный баг позволяет захватывать серверные системы без прямого доступа.

Chalk: фальшивый NPM-пакет обманул сотни разработчиков

Зараженный клон нацелен на кражу данных программистов.

Анимация за 10 BTC: LottiePlayer стал жертвой невидимого скрипта

Новые версии плагина стали ловушкой для пользователей.

Три пакета, сотни загрузок: КНДР внедряет BeaverTail в репозитории для разработчиков

Когда обычный JavaScript-загрузчик превращается в инструмент шпионажа.

Логотипы Intel, AMD и Microsoft атакуют разработчиков

На платформе npm выявлены библиотеки-оборотни со скрытым функционалом.

1,5 часа ужаса: новая молниеносная тактика северокорейских хакеров

Специалисты раскрывают стратегию блиц-атаки против разработчиков.

«Glup-debugger-log»: ложный друг разработчика, ворующий контроль над ПК

Почему вредоносный Node.js-пакет всё ещё доступен для скачивания?

Manifest Confusion: на платформе npm выявлено больше 800 пакетов «с сюрпризом»

Хакеры бьют по разработчикам, ожидая затронуть программную цепочку поставок.

npm-модули против разработчиков: GitHub в роли склада краденого

Злоумышленники придумали хитрый способ распространять скрипты через GitHub

Пакет “oscompatible” в npm оказался ловушкой: как он устанавливает скрытый троян на компьютерах с Windows и дает злоумышленникам удаленный доступ

Дерзкий подход к компрометации открыл хакерам доступ к цепочке поставок открытого ПО.

В 2023 году программы для разработки ПО стали самым лакомым кусочком для хакеров

Почему взломать сервисы вроде NuGet, PyPI, и RubyGems так просто и какую главную ошибку совершают поставщики?

Проверьте своё ПО: Lazarus атакует цепочку поставок пакетов npm

Используя многоуровневый способ загрузки, хакеры тщательно скрывают свою активность.

Красный код для GitHub: 15 000 репозиториев Go на грани компрометации

VulnCheck предупреждает о беспрецедентной уязвимости цепочек поставок программного обеспечения.