4 июня 2026 года в реестр пакетов npm была загружена серия вредоносных публикаций, объединённых единой инфраструктурой и целевым механизмом поражения. За 40 минут (с 07:27 до 08:05 UTC) один злоумышленник
В реестре пакетов npm обнаружен вредоносный пакет @withgoogle/stitch-sdk, имитирующий официальный SDK для инструмента дизайна Google Stitch с помощью техники скоупингового сквоттинга.
Экосистема JavaScript-сборки, основанная на пакетном менеджере npm, столкнулась с целенаправленной атакой подмены. Исследователи выявили группу вредоносных пакетов, маскирующихся под популярный модуль
Массовая атака на цепочку поставок npm, затронувшая более 140 пакетов в пространствах имён mastra и @mastra, привлекла внимание исследователей Microsoft Threat Intelligence.
17 июня 2026 года специалисты компании Socket зафиксировали масштабную атаку на цепочку поставок программного обеспечения, затронувшую пакеты из пространства имён @mastra.
Шестнадцатого июня 2026 года специалисты Microsoft Threat Intelligence обнаружили аномальную активность в реестре npm. В течение следующих суток выяснилось, что злоумышленники получили контроль над аккаунтом
17 июня 2026 года произошёл масштабный инцидент в цепочке поставок программного обеспечения. Злоумышленник получил контроль над учётной записью одного из мейнтейнеров проекта Mastra - открытого TypeScript-фреймворка
Разработчики по всему миру столкнулись с серьёзной угрозой, исходящей из реестра открытых пакетов npm. Специалисты по информационной безопасности обнаружили вредоносное программное обеспечение в составе модуля dbmux.
Исследователи информационной безопасности обнаружили сразу две кампании по распространению вредоносных пакетов в репозиториях открытого кода. Первая из них, получившая название Solana FakeFix, насчитывает
В экосистеме Node.js обнаружен новый кластер вредоносных пакетов, которые через многоступенчатую цепочку заражения доставляют троян удалённого доступа PylangGhost.