Восемь npm-пакетов Red Hat Cloud Services оказались заражены сборщиком учетных данных из-за взлома конвейера GitHub Actions

information security
1 июня 2026 года специалисты компании StepSecurity, занимающейся защитой конвейеров разработки, обнаружили в реестре пакетов npm восемь вредоносных версий библиотек, принадлежащих экосистеме Red Hat Cloud Services.

Северокорейская группа UNC1069 впервые применила дипфейк в реальном времени для атаки на финтех и скомпрометировала npm-пакет Axios

APT
Специализированная северокорейская хакерская группа UNC1069, действующая под эгидой Разведывательного бюро Генерального штаба КНДР (RGB), совершила беспрецедентную атаку на криптовалютную компанию.

Атака на цепочку поставок npm: злоумышленники маскируются под корпоративные пакеты и собирают данные разработчиков

information security
Экосистема открытого кода снова становится площадкой для изощрённых кибератак, нацеленных на разработчиков корпоративного ПО. На этот раз под ударом оказались пользователи реестра npm: группа, действующая

Кампания TrapDoor: 34 вредоносных пакета в трёх репозиториях Python, JavaScript и Rust нацелены на крипторазработчиков

information security
Двадцать четвёртого мая 2026 года исследователи безопасности из компании Socket.dev документировали масштабную атаку на цепочку поставок, затронувшую три крупнейших реестра открытого кода: npm, PyPI и Crates.

Два аккаунта npm за 25 минут опубликовали 164 вредоносных пакета для кражи секретов облачного провайдера и банка

information security
Вечером 27 мая 2026 года неизвестный злоумышленник, контролирующий два аккаунта в реестре npm, единовременно загрузил 164 вредоносных пакета. Каждый из них имитировал внутренние модули облачной платформы и финансовой организации.

Вредоносный пакет js-logger-pack превратился в полноценный шпионский инструмент: под угрозой криптокошельки и данные разработчиков

security
В начале апреля 2026 года в реестре npm появился безобидный на первый взгляд пакет js-logger-pack, предназначенный для ведения журналов. Однако спустя несколько недель он прошёл через 29 версий и превратился в мощное средство для кражи данных.

Microsoft раскрыла атаку на цепочку поставок через npm: 14 поддельных пакетов крадут облачные секреты

information security
В конце мая 2026 года специалисты Microsoft зафиксировали масштабную атаку на цепочку поставок программного обеспечения, нацеленную на экосистему менеджера пакетов npm.

Вредоносные пакеты в npm использовали реестр как бесплатный хостинг для рекламного прокси

security
Крупный инцидент в экосистеме Node.js продемонстрировал новый способ злоупотребления инфраструктурой реестра пакетов. Один злоумышленник под псевдонимом terminal3airport менее чем за три недели опубликовал

После удаления forge-jsx злоумышленники выпустили его продолжение forge-jsxy с кражи криптокошельков и браузерных расширений

information security
В начале мая специалисты npm (реестр пакетов Node.js) удалили вредоносный пакет forge-jsx, который устанавливал на машины разработчиков троян удалённого доступа.

Масштабная атака на цепочку поставок TrapDoor: вредоносные пакеты в npm, PyPI и Crates.io нацелены на разработчиков криптовалют и AI

information security
Исследователи информационной безопасности из компании Socket обнаружили скоординированную кампанию по внедрению вредоносного кода сразу в три крупнейших реестра открытого программного обеспечения: npm