Официальные npm-пакеты Red Hat скомпрометировал Shai-Hulud
Экосистема Red Hat пострадала от атаки на цепочку поставок. Неизвестные злоумышленники скомпрометировали инфраструктуру публ…
Создатель вредоносного npm-пакета случайно слил собственные данные
Автор вредоносного npm-пакета для кражи данных у пользователей Claude допустил серьезную ошибку, из-за которой малварь раскр…
Атака Megalodon затронула более 5500 репозиториев на GitHub
Исследователи из SafeDep и OX Security предупредили о масштабной кампании Megalodon, в рамках которой злоумышленники внедрял…
GitHub внедряет двухфакторную аутентификацию для публикации пакетов в npm
GitHub усиливает защиту npm после многочисленных атак на цепочки поставок. Теперь публикацию пакетов можно подтверждать поср…
Новая волна атак Shai-Hulud привела к компрометации 600 npm-пакетов
Исследователи сообщили о новой волне атак малвари Shai-Hulud на экосистему npm. На этот раз злоумышленники опубликовали боле…
Появились клоны червя Shai-Hulud, которые уже используются в атаках на npm
После публикации исходников червя Shai-Hulud в открытом доступе в npm уже замечены первые клоны этой малвари. Один из обнару…
Взлом Trivy. Как атака на сканер уязвимостей привела к эффекту домино
В марте 2026 года хакерская группа TeamPCP провела серию каскадных атак на цепочку поставок. Началось все с компрометации сканера уязвимостей Trivy и компании Aqua Security, а затем атака затронула npm, PyPI, Checkmarx, Telnyx и десятки тысяч CI/CD-пайплайнов по всему миру.
MEGANews. Cамые важные события в мире инфосека за апрель
В этом месяце: злоумышленники скомпрометировали npm-пакет Axios и раздавали RAT разработчикам; Anthropic представила закрытую модель Claude Mythos, которая нашла тысячи 0-day, но энтузиасты тут же получили к ней доступ; российские власти развернули масштабную кампанию против VPN; исследователь Chaotic Eclipse объявил войну Microsoft и публикует эксплоиты для непропатченных уязвимостей; у DeFi-платформы Drift украли 285 миллионов долларов, а также другие важные и интересные события апреля.
Npm-пакет Bitwarden взломали ради кражи учетных данных разработчиков
В конце прошлой недели npm-пакет bitwarden/cli стал вредоносным: злоумышленники внедрили в него инфостилер, который похищал …
Npm-пакет Axios взломан и распространял кроссплатформенную малварь
Популярный HTTP-клиент Axios пострадал от атаки на цепочку поставок. Злоумышленники скомпрометировали npm-аккаунт основного …
Разработчики криптобиржи dYdX загрузили вредоносные пакеты в PyPI и npm
Злоумышленники скомпрометировали официальные пакеты npm и PyPI криптовалютной биржи dYdX и распространили через них малварь.…
В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены
В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API. Малва…
Червь Shai-Hulud снова проник в npm и скомпрометировал более 25 000 разработчиков
Самораспространяющаяся малварь Shai-Hulud вернулась в npm, скомпрометировав более 25 000 разработчиков всего за три дня. Сот…
Вредоносные пакеты из npm злоупотребляют перенаправлениями Adspect
Исследователи из компании Socket обнаружили в npm семь вредоносных пакетов, которые используют облачный сервис Adspect для м…
Червь IndonesianFoods создал более 100 000 вредоносных пакетов в npm
В npm обнаружили еще одного самораспространяющегося червя IndonesianFoods, который каждые семь секунд порождает новые пакеты…
Обнаруженная в npm малварь оказалась частью учений GitHub Red Team
Исследователи из компании Veracode обнаружили вредоносный npm-пакет acitons/artifact, который маскировался под легитимный ac…
Кампания PhantomRaven: в npm загрузили более 100 пакетов с инфостилерами
С августа 2024 года, в рамках кампании PhantomRaven в npm загрузили 126 вредоносных пакетов, которые суммарно скачали более …
Фреймворк для постэксплуатации AdaptixC2 нашли во вредоносном npm-пакете
Специалисты «Лаборатории Касперского» обнаружили в npm вредоносный пакет https-proxy-utils. Он был замаскирован под легитимн…
MEGANews. Cамые важные события в мире инфосека за сентябрь
В этом месяце: в сеть попали 600 Гбайт данных, связанных с «Великим китайским файрволом», вредоносная игра из Steam похитила криптовалюту у сотен пользователей, Минцифры работает над «белыми списками», экосистема npm пострадала от крупнейшей в истории атаки на цепочку поставок, энтузиасты придумали аналог премии Дарвина для искусственного интеллекта, а также другие важные и интересные события ушедшего сентября.
Инфраструктуру npm используют фишеры, нацеленные на промышленные и технологические компании
Злоумышленники злоупотребляют легитимной инфраструктурой npm в новой фишинговой кампании Beamglea. На этот раз вредоносные п…
Вредоносный пакет в npm использовал QR-коды для загрузки малвари
Исследователи обнаружили в npm вредоносный пакет fezbox, который ворует у жертв файлы cookie. Чтобы вредоносная активность о…
GitHub усиливает безопасность npm с помощью обязательной 2ФА и других мер
Разработчики GitHub сообщили, что работают над комплексом защитных мер, направленных против атак на цепочки поставок, которы…
Самораспространяющаяся малварь заразила более 180 пакетов npm
Исследователи обнаружили компрометацию более 180 npm-пакетов, которые оказались поражены самораспространяющейся малварью, на…
Крупнейшая в истории атака на цепочку поставок принесла хакерам менее 1000 долларов
Самая крупная атака за всю историю экосистемы npm затронула примерно 10% облачных сред. Однако специалисты пришли к выводу, …
Атака s1ngularity затронула 2180 аккаунтов GitHub
По данным специалистов компании Wiz, которые изучили недавнюю атаку s1ngularity, нацеленную на NX, инцидент привел к масштаб…
Взломаны npm-пакеты, которые еженедельно загружают более 2,6 млрд раз
Исследователи предупреждают о крупнейшей в истории атаке на цепочку поставок. Злоумышленники внедрили малварь в популярнейши…
NX стал жертвой атаки на цепочку поставок. В итоге хакеры похитили тысячи секретов
Мейнтейнеры NX предупредили пользователей об атаке на цепочку поставок. Компрометация токена одного из разработчиков позволи…
Написанный ИИ npm-пакет воровал криптовалюту и был загружен 1500 раз
Специалисты компании Safety обнаружили в npm вредоносный пакет, сгенерированный с помощью ИИ и скрывавший в себе малварь для…
Популярные npm-пакеты взламывают для распространения вредоносного ПО
За последние недели ряд опенсорс-разработчиков пострадали от фишинговых атак. В результате в пакеты, некоторые из которых на…
Малварь XORIndex обнаружили в 67 npm-пакетах
Северокорейские хакеры разместили 67 вредоносных пакетов в npm, через которые распространялся новый загрузчик малвари XORInd…
Троян проник в npm-пакеты, которые еженедельно загружают более 1 млн раз
В npm обнаружена еще одна крупная атака на цепочку поставок, затронувшая 17 популярных пакетов GlueStack @react-native-aria.…
В npm нашли вредоносное ПО, удаляющее каталоги приложений
Два вредоносных пакета маскировались под полезные утилиты, но на самом деле представляли собой вайперы, намеренно удаляющие …
Более 60 пакетов из npm воровали данные пользователей
Исследователи из компании Socket обнаружили активную кампанию, в рамках которой используются десятки вредоносных npm-пакетов…
В npm обнаружили пакеты, умышленно уничтожающие данные
Специалисты компании Socket нашли в npm восемь вредоносных пакетов, которые были загружены из репозитория более 6200 раз за …
Малварь из npm прячется с помощью стеганографии и Unicode
В npm обнаружили вредоносный пакет, который прячет вредоносный код с помощью невидимых символов Unicode и использует ссылки …
Вредоносные npm-пакеты распространяли бэкдор среди пользователей Cursor AI
Обнаружен macOS-бэкдор в трех npm-пакетах, выдававших себя за инструменты для разработчиков для популярного редактора кода C…
Npm-пакет rand-user-agent скомпрометирован в ходе атаки на цепочку поставок
В популярный пакет rand-user-agent, который загружают более 45 000 раз в неделю, внедрили обфусцированный код. Малварь актив…
Рекомендуемая Ripple библиотека xrpl.js скомпрометирована атакой на цепочку поставок
Многие версии JavaScript-библиотеки xrpl.js Ripple в npm оказались скомпрометированы неизвестными злоумышленниками в рамках …
Девять вредоносных расширений VSCode заражали пользователей майнерами
Сразу девять расширений в VSCode Marketplace выдавали себя за настоящие инструменты разработки и заражали машины пользовател…
Несколько популярных пакетов npm взломаны и заражены инфостилером
Исследователи предупреждают о новой атаке на цепочку поставок. Десять пакетов npm, некоторые из которых существуют почти 10 …
Бумажный выпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4500 р.
на год
на год
950 р.
на месяц
на месяц
Материалы для подписчиков
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире