Массовая атака на npm: десятки поддельных пакетов распространяют похититель паролей из Chromium

Атака на цепочку поставок NPM
4 июня 2026 года в реестр пакетов npm была загружена серия вредоносных публикаций, объединённых единой инфраструктурой и целевым механизмом поражения. За 40 минут (с 07:27 до 08:05 UTC) один злоумышленник

Злоумышленники использовали подмену области видимости npm для кражи учётных данных разработчиков под видом SDK Google Stitch

security
В реестре пакетов npm обнаружен вредоносный пакет @withgoogle/stitch-sdk, имитирующий официальный SDK для инструмента дизайна Google Stitch с помощью техники скоупингового сквоттинга.

Зависимости сборщика с имитацией: пост-обработчик PostCSS оказался многоступенчатым RAT

security
Экосистема JavaScript-сборки, основанная на пакетном менеджере npm, столкнулась с целенаправленной атакой подмены. Исследователи выявили группу вредоносных пакетов, маскирующихся под популярный модуль

Северокорейская группировка Sapphire Sleet атаковала экосистему Mastra через npm-пакет-двойник easy-day-js

security
Массовая атака на цепочку поставок npm, затронувшая более 140 пакетов в пространствах имён mastra и @mastra, привлекла внимание исследователей Microsoft Threat Intelligence.

Массовая атака на экосистему npm: 141 вредоносный пакет Mastra с кражей криптокошельков и данных браузера

security
17 июня 2026 года специалисты компании Socket зафиксировали масштабную атаку на цепочку поставок программного обеспечения, затронувшую пакеты из пространства имён @mastra.

Microsoft зафиксировала массированную атаку на цепочку поставок npm: более 140 пакетов Mastra скомпрометированы через кражу учётной записи мейнтейнера

security
Шестнадцатого июня 2026 года специалисты Microsoft Threat Intelligence обнаружили аномальную активность в реестре npm. В течение следующих суток выяснилось, что злоумышленники получили контроль над аккаунтом

Компрометация npm-организации Mastra: злоумышленник внедрил вредоносную зависимость в 116 пакетов AI-фреймворка

information security
17 июня 2026 года произошёл масштабный инцидент в цепочке поставок программного обеспечения. Злоумышленник получил контроль над учётной записью одного из мейнтейнеров проекта Mastra - открытого TypeScript-фреймворка

Вредоносный код в npm-пакете dbmux: полная компрометация систем без возможности восстановления

security
Разработчики по всему миру столкнулись с серьёзной угрозой, исходящей из реестра открытых пакетов npm. Специалисты по информационной безопасности обнаружили вредоносное программное обеспечение в составе модуля dbmux.

Вредоносные пакеты в npm и PyPI атакуют разработчиков Solana: кража ключей, учётных данных и токенов

security
Исследователи информационной безопасности обнаружили сразу две кампании по распространению вредоносных пакетов в репозиториях открытого кода. Первая из них, получившая название Solana FakeFix, насчитывает

Пять npm-пакетов использовали инфраструктуру Cloudflare для доставки трояна PylangGhost: атрибуция подтверждена

remote access Trojan
В экосистеме Node.js обнаружен новый кластер вредоносных пакетов, которые через многоступенчатую цепочку заражения доставляют троян удалённого доступа PylangGhost.