Экосистема JavaScript вновь столкнулась с угрозой цепочки поставок, способной скомпрометировать инфраструктуру разработчиков по всему миру. Исследователи компании Socket выявили три новые вредоносные версии
Крупная атака на цепочку поставок программного обеспечения была выявлена в популярном npm-пакете "pgserve", представляющем собой встраиваемый сервер PostgreSQL для нужд разработки.
11 мая 2026 года группа TeamPCP, известная по предыдущим инцидентам с SAP, Checkmarx и Bitwarden, одновременно атаковала два крупнейших реестра пакетов - npm и PyPi.
Разработчики по всему миру столкнулись с атакой, которая использует механизмы доверенной публикации против самих же авторов. Исследователи из компании JFrog опубликовали отчёт о продолжающейся кампании Shai-Hulud: Here We Go Again.
Группа TeamPCP запустила новую волну самораспространяющегося червя Mini Shai-Hulud. Вредоносная программа атаковала механизмы непрерывной интеграции и доставки (CI/CD), чтобы украсть секреты и опубликовать
Двенадцатого мая 2026 года команда Threat Research компании Socket обнаружила масштабную компрометацию цепочки поставок программного обеспечения. Вредоносные изменения были внесены в 84 пакета из пространства имён TanStack.
Исследователи информационной безопасности обнаружили в реестре npm пакет node-env-resolve, который маскируется под легковесный конфигуратор окружения для Node.js.
В публичном реестре npm обнаружена масштабная кампания по хищению учётных записей Telegram. Два пакета - common-tg-service и ams-ssk - оказались звеньями одной инфраструктуры, нацеленной на пользователей из Индии.
29 апреля 2026 года цепочка поставок JavaScript-экосистемы снова подверглась атаке. Злоумышленник, зарегистрировавший имя "tanstack" в реестре npm ещё в декабре 2024 года, опубликовал несколько версий
Специалисты компании ReversingLabs обнаружили вредоносный код в криптовалютном торговом проекте. Код попал туда после того, как ИИ-агент добавил подозрительную зависимость в репозиторий.
