Security Lab

NPM

NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm

Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.

Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy.

Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.

Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа

Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.

Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация

Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.

Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.

Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm

Сценарии автоматизации превратились в конвейер по краже секретов.

В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента

Под угрозой оказались тысячи рабочих станций по всему миру.

Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX

Теперь внутри кода прячется сюрприз, о котором не знают даже профи.

Вам предложили проект за 800 000? Поздравляем, вас пытаются взломать. История одного «оффера»

Какая деталь в профиле рекрутера должна была насторожить сразу?

«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord

Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.

Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов

Злоумышленники годами готовили почву для этого скрытого удара.

Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера

В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены.

197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон

Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты.

Кража токенов или уничтожение диска: Sha1-Hulud ставит ультиматум заражённым системам

Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность.

Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам.

«Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось

Зачем кто-то целых два года загружал на платформу мусорные пакеты?

ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов

Вредоносный код подгружается динамически и сливает секреты по трём каналам связи.