Security Lab

NPM

NPM (Node Package Manager) - это репозиторий пакетов для языка программирования JavaScript и его фреймворка Node.js. Он является центральным хранилищем для более чем 1 миллиона пакетов, включая библиотеки, фреймворки, плагины и другие зависимости, которые могут быть установлены и использованы в проектах JavaScript и Node.js. Разработчики могут использовать NPM для поиска, установки и обновления пакетов, а также для публикации своих собственных пакетов и их документации. NPM также обеспечивает управление версиями пакетов, что позволяет разработчикам управлять зависимостями и версиями пакетов в своих проектах. Он также предоставляет инструменты для разработки и тестирования проектов, такие как сборщики, линтеры, тестовые фреймворки и другие инструменты.

«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

Скриншоты, seed-фразы и захват терминала: хакеры теперь грабят пользователей через npm и Discord

Один необдуманный шаг — и все ваши сбережения окажутся в чужих руках.

Trust Wallet наконец назвал виновных в краже 8,5 миллионов долларов

Злоумышленники годами готовили почву для этого скрытого удара.

Проверьте связанные устройства WhatsApp – API для веб-версии мог тайно "привязать" к вам хакера

В npm полгода жил пакет, который притворялся библиотекой для WhatsApp Web, а на деле тихо уносил переписки, контакты и токены.

197 вирусов в npm и «сломанная» камера. Хакеры атакуют разработчиков со всех сторон

Спецслужбы КНДР превратили поиск работы в идеальную схему по краже криптовалюты.

Кража токенов или уничтожение диска: Sha1-Hulud ставит ультиматум заражённым системам

Внедрение в инфраструктуру происходит настолько глубоко, что обычная чистка уже не гарантирует безопасность.

Реестр npm накрыла волна из 150 000 мусорных пакетов — крупнейшая кампания по выкачиванию крипто-токенов в истории открытого ПО

Каждый пакет содержал tea.yaml для вывода наград злоумышленникам.

«Это даже не вирус!»: новая атака на npm оказалась коварнее, чем предполагалось

Зачем кто-то целых два года загружал на платформу мусорные пакеты?

ИИ-помощник подсказал название пакета, вы сделали "npm install" — и передали все токены GitHub хакерам. PhantomRaven не оставил шансов

Вредоносный код подгружается динамически и сливает секреты по трём каналам связи.

Привет от Cobalt Strike. Разработчикам подкинули вирус, замаскированный под прокси-утилиту в npm

«Лаборатория Касперского» выявила вредоносный пакет в npm, распространяющий фреймворк AdaptixC2.

"God-mode" в руках хакера. Как одна строка кода скомпрометировала сотни компаний

Простой инструмент для ИИ-ассистентов оказался самым коварным бэкдором года.

GitHub объявил войну хакерам и меняет правила игры

Новый механизм публикации навсегда исключит человека из цепочки доверия.

40 популярных пакетов заражены троянами. Отзовите все токены прямо сейчас

Вирус распространяется автоматически и закрепляется в репозиториях навсегда.

Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?

Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом

Одна лишняя «t». Разработчики Ethereum теряют кошельки через Telegram-боты

Поддельные SDK отправляют мнемонические фразы в чужие руки. Каждая установка может обернуться катастрофой.

1 коммит — 3000 украденных секретов: что не так с безопасностью на GitHub

API-ключи разработчиков уже могут продаваться в даркнете.