Исследователи в области информационной безопасности зафиксировали масштабную атаку на реестр пакетов npm. Злоумышленники получили контроль над учётной записью мейнтейнера "atool" и опубликовали вредоносные
Экосистема открытых пакетов для Node.js снова стала ареной для киберпреступников. За последние сутки специалисты компании OX Security обнаружили четыре новых вредоносных пакета в реестре npm.
11 мая 2026 года группа TeamPCP, известная по предыдущим инцидентам с SAP, Checkmarx и Bitwarden, одновременно атаковала два крупнейших реестра пакетов - npm и PyPi.
Разработчики по всему миру столкнулись с атакой, которая использует механизмы доверенной публикации против самих же авторов. Исследователи из компании JFrog опубликовали отчёт о продолжающейся кампании Shai-Hulud: Here We Go Again.
Группа TeamPCP, стоявшая за серией громких атак на реестры пакетов npm и PyPI в начале и середине 2026 года, неожиданно выложила в открытый доступ полный исходный код своего наступательного инструментария.
Группа TeamPCP запустила новую волну самораспространяющегося червя Mini Shai-Hulud. Вредоносная программа атаковала механизмы непрерывной интеграции и доставки (CI/CD), чтобы украсть секреты и опубликовать
Двенадцатого мая 2026 года команда Threat Research компании Socket обнаружила масштабную компрометацию цепочки поставок программного обеспечения. Вредоносные изменения были внесены в 84 пакета из пространства имён TanStack.
Масштабная кампания по заражению цепочек поставок, получившая название Mini Shai-Hulud, вышла за пределы JavaScript-экосистемы и поразила репозиторий PHP-пакетов.
Разработчики, использующие официальный SDK для Node.js под названием intercom-client, столкнулись с серьёзной угрозой для цепочки поставок. Специалисты компании Socket Threat Research обнаружили и подтвердили, что версия 7.
Популярный пакет lightning, предназначенный для построения и обучения моделей машинного обучения и скачиваемый примерно восемь миллионов раз в месяц, стал источником серьёзной угрозы.
