npm
GitHub: Хакеры похитили данные авторизации для порядка 100 тыс. учетных записей npm
Данные были похищены в результате апрельского взлома с использованием OAuth-токенов Heroku и Travis-CI.
Инструмент Package Analysis помогает обнаружить вредоносные пакеты npm и PyPI
Инструмент направлен на борьбу с вредоносным ПО в репозиториях с открытым исходным кодом.
Уязвимость в NPM позволяла распространять вредоносное ПО под видом легитимных пакетов
Злоумышленник мог создавать вредоносные пакеты и назначать их доверенным популярным мейнтейнерам без их ведома.
Разработчик event-source-polyfill разослал россиянам послание через новую версию библиотеки
Российский разработчик Yaffle добавил в свою библиотеку event-source-polyfill интересный фрагмент кода.
Команда NPM обязала разработчиков популярных пакетов включить 2FA
Новое требование вступило в силу 1 февраля 2022 года.
Разработчик испортил свой проект с целью «наказать» корпорации
Действия разработчика привели к нарушению работы тысяч зависящих проектов.
Команда npm удалила 17 вредоносных JavaScript-библиотек
Пакеты похищали токены доступа Discord и переменные среды с компьютеров пользователей и устанавливали RAT.
Злые двойники NPM-пакета noblox.js атакуют фанатов Roblox
Кто-то регулярно создает вредоносные копии пакета noblox.js и дает им названия, очень похожие на настоящее.
Microsoft опять попалась на «подстановочную атаку»
Исследователь мог выполнять команды на домене halowaypoint.com, связанном с серией видеоигр Halo.
Вредонос в npm-пакете web-browserify не обнаруживается ни одним антивирусным ПО
Вредоносный пакет web-browserify маскируется под популярный npm-пакет Browserify, насчитывающий более 160 млн загрузок и использующийся в более чем 356 тыс. репозиториях на GitHub.
Обнаружена критическая уязвимость в популярной npm-библиотеке netmask
Проблема может привести к различным другим уязвимостям — от подделки запросов на стороне сервера до удаленного доступа.
Исследователю удалось опубликовать на сайте Azure SDK поддельный пакет
По словам исследователя, это не атака «несоответствия используемых зависимостей», а нечто гораздо более простое.
Microsoft предупредила о новом типе атак на цепочку поставок
Суть «атаки с подменой» заключается во вмешательстве в процесс разработки приложения в корпоративной среде.
Вредоносный пакет npm похищает переписку в Discord
На портале npm обнаружена вредоносная JavaScript-библиотека discord.dll.
Три вредоносных пакета npm могут полностью скомпрометировать компьютер
Библиотеки открывали оболочки на компьютерах разработчиков, импортировавших пакеты в свои проекты.
На портале npm обнаружено четыре пакета с вредоносным кодом
Код похищал данные пользователей и загружал информацию на общедоступную страницу на GitHub.
Вредоносный пакет npm похищает данные с UNIX-подобных систем
Из репозитория npm удален вредоносный пакет, пробывший там две недели.
В npm обнаружен вредоносный пакет, похищающий учетные данные
Вредоносный пакет bb-builder находился в npm в течение года.
Хакер взломал учетную запись одного из разработчиков менеджера пакетов npm
Скомпрометированный пакет JavaScript использовался для хищения учетных данных пользователей.
Неизвестные попытались спрятать бэкдор в популярном пакете npm
Бэкдор позволял атакующему добавлять на запущенный сервер произвольный код и выполнять его.