Security Lab

NPM

NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов

На кону стоят суммы, которые заставляют забыть о правилах приличия.

Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости

Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.

Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу

Изучаем ловушки, обманувшие даже самых бдительных специалистов.

Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов

Привычный запуск кода в терминале превращает личную систему в открытую книгу.

Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился

Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave.

Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор

В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.

Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm

Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.

Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy.

Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.

Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа

Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.

Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация

Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.

Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода

Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.

Одна опечатка — и код больше не принадлежит вам. Как работает «режим песчаного червя» в библиотеках npm

Сценарии автоматизации превратились в конвейер по краже секретов.

В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента

Под угрозой оказались тысячи рабочих станций по всему миру.

Seed-фразы, ключи и чужой код. Рассказываем, как хакеры взломали библиотеки dYdX

Теперь внутри кода прячется сюрприз, о котором не знают даже профи.

Вам предложили проект за 800 000? Поздравляем, вас пытаются взломать. История одного «оффера»

Какая деталь в профиле рекрутера должна была насторожить сразу?

«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord

Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.

Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов

Злоумышленники годами готовили почву для этого скрытого удара.

Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера

В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены.