NPM
Shai-Hulud в открытом доступе. Теперь любой желающий может похищать токены GitHub, SSH-ключи и криптокошельки — инструкция прилагается
Астрологи объявили неделю атак на цепочку поставок.
«Торг уместен»: хакеры взломали ИИ-компанию, украли 5 ГБ кода и устроили аукцион в даркнете
Продать исходный код обещают только одному покупателю. Как думаете, сдержат слово?
Хотели обновиться — получили бэкдор. Как так вышло, что node-ipc теперь охотится за паролями разработчиков
История началась с тихой публикации трёх версий, но быстро превратилась в тревожный сигнал для всей экосистемы.
Mini Shai-Hulud заразил 373 пакета, не нарушив ни единого правила публикации
Атака использовала именно те механизмы защиты, которым разработчики доверяли больше всего.
Песочница оказалась дырявым ведром. Очередной способ взломать Node.js уже гуляет по сети
Исправить положение дел быстро не выйдет, и на это есть причины.
Хакеры устроили склад краденых секретов и назвали его в честь червя — «Дюна» на GitHub
Ключи от всех тайников незаметно сменили владельца.
Иконки те же, цели иные. Опубликован список из 73 расширений OpenVSX с вредоносным функционалом
Один неверный клик может стоить разработчикам целой инфраструктуры.
«Считайте систему скомпрометированной» — официальный совет Bitwarden тем, кто скачал CLI 22 апреля. Хорошего дня
Атака показала, как быстро взламывают цепочки поставок.
Ставите на Polymarket? Ваши финансы в опасности. Хакеры подложили «свинью» тем, кто запускает торговых ботов
На кону стоят суммы, которые заставляют забыть о правилах приличия.
Сюрприз для криптанов: популярный пакет Velora SDK начал жить своей жизнью и звать хакеров в гости
Похоже, даже безупречная репутация не гарантирует, что данные уцелеют.
Ким Чен Ын передаёт привет вашему криптокошельку. Краткий гид: как не спонсировать чужую ядерную программу
Изучаем ловушки, обманувшие даже самых бдительных специалистов.
Работа мечты: вы нам код, мы вам вирус. Тестовые задания стали опаснее сомнительных сайтов
Привычный запуск кода в терминале превращает личную систему в открытую книгу.
Хотели проверить токены Gemini, а получили северокорейский троян. npm опять отличился
Бэкдор в npm собирал учётные данные из Chrome, Edge, Brave.
Кража ключей, слежка и полный доступ к системе. Рассказываем, как хакеры взломали главную библиотеку интернета и внедрили в неё бэкдор
В популярных версиях Axios 1.14.1 и 0.30.4 обнаружен троян удалённого доступа.
Скачал обновление — удалил сервер. Коротко о том, как обстоят дела у пользователей npm
Как вредоносный код внедряется в систему и почему его почти невозможно заблокировать.
Сканер уязвимостей, который сам стал главной уязвимостью. Ироничная история взлома Trivy
Злоумышленники научились доставать секреты прямо из оперативной памяти серверов.
Привет, мир и прощай, зарплата. Одна команда в консоли лишает разработчика всех уровней доступа
Хакеры решили, что если добавить в название домена умное слово, то никто ничего не заметит.
Слишком сложно для Microsoft. Как три разработчика сделали сайт npm лучше, чем целая корпорация
Новый сервис обещает удобный поиск, больше данных о пакетах и социальные функции для open source.
Достаточно нажать «Enter». 50 тысяч систем сдали пароли хакерам даже без запуска кода
Ошибка в выборе зависимости иногда обходится дороже, чем взлом сервера.