Червь Miasma активирует вредоносную нагрузку через ИИ-агенты и редакторы кода при открытии репозиториев GitHub

security
Атака, зафиксированная 3 июня 2026 года, обозначила опасный поворот в цепочках поставок программного обеспечения. Новая волна червя Miasma отказалась от заражения через реестр npm и напрямую нацелилась на рабочие папки разработчиков.

Пятая волна атаки PhantomRaven: злоумышленники продолжают воровать данные разработчиков через npm-пакеты

information security
Кампания по краже учётных данных разработчиков, известная как PhantomRaven, не прекратилась даже после того, как о её существовании стало известно публично. Исследователи из компании Mend.

Обнаружен новый сложный вредонос IronWorm: Rust-инфостилер с eBPF-руткитом нацелился на разработчиков через npm

information security
Исследователи информационной безопасности раскрыли детали ранее неизвестной атаки на цепочку поставок программного обеспечения. Злоумышленники создали вредоносную программу IronWorm, написанную на Rust

Атака на цепочку поставок npm: вредоносные пакеты Red Hat Cloud Services заражают среды разработки

security
Безопасность цепочки поставок программного обеспечения вновь оказалась под угрозой. Система мониторинга MistEye зафиксировала инцидент, связанный с публикацией вредоносных версий пакетов, принадлежащих организации Red Hat Cloud Services.

Атака на цепочку поставок npm: новый червь распространяется через скрытый механизм сборки node-gyp

security
Экосистема JavaScript снова столкнулась с серьёзной угрозой. Специалисты компании StepSecurity, занимающейся защитой конвейеров разработки, обнаружили активную самовоспроизводящуюся атаку на цепочку поставок

В реестре npm обнаружены четыре вредоносные версии пакета ai-sdk-ollama: злоумышленники украли облачные ключи и подготовили почву для самораспространяющейся атаки

security
Популярный npm-пакет ai-sdk-ollama, который служит неофициальным мостом между инструментом локального запуска больших языковых моделей Ollama и фреймворком Vercel AI SDK, стал целью сложной атаки на цепочку поставок.

Северокорейские хакеры усовершенствовали кампанию GraphAlgo: фальшивые компании и поддельная история коммитов для атак на разработчиков

information security
В начале этого года специалисты компании ReversingLabs обнаружили масштабную кампанию по распространению вредоносного кода под названием GraphAlgo. Два месяца спустя те же исследователи столкнулись с её более сложной версией.

Два вредоносных npm-пакета имитируют популярный HTTP-клиент axios для кражи данных

security
В начале июня сообщество Node.js-разработчиков столкнулось с новой угрозой цепочки поставок. На площадке npm (менеджер пакетов для JavaScript) появились два вредоносных пакета, которые маскируются под востребованный HTTP-клиент axios.

Крупнейшая атака на цепочку поставок npm: 32 пакета @redhat-cloud-services скомпрометированы через CI/CD пайплайн

security
Экосистему JavaScript потрясла масштабная атака на цепочку поставок. Специалисты Microsoft Threat Intelligence выявили вредоносную активность, затронувшую тридцать два пакета из пространства имён @redhat-cloud-services.

Крупномасштабная атака на цепочку поставок: злоумышленники скомпрометировали 32 npm-пакета Red Hat за 72 секунды

security
Первого июня 2026 года исследователи в области информационной безопасности зафиксировали беспрецедентную по скорости и масштабу атаку на репозиторий пакетов npm.