GigaTap articles tagged npm.
- Postinstall в npm: Mastra взлом и код при установке - В цепочке npm Mastra вредоносный код запускался через postinstall при установке зависимостей. Затронуто более 140 пакетов и CI/CD окружения.
- IronWorm атакует цепочку поставок через учетные данные разработчиков - IronWorm атакует NPM через кражу учетных данных разработчиков и использует доверие цепочки поставки для распространения.
- Dependency confusion по-прежнему срабатывает — и помогает разведке - Новая кампания с 33 вредоносными npm-пакетами показала: dependency confusion всё ещё помогает атакующим изучать среды разработки и сборки.
- Вредоносный npm-пакет Red Hat охотился за учётными данными - Компрометация более 30 npm-пакетов Red Hat привела к распространению вредоносного кода для кражи секретов разработчиков и токенов CI/CD.
- Черви в npm добрались до CI/CD и цепочек доверия - После Shai-Hulud атаки через npm нацелились не на разработчиков, а на издателей пакетов, CI/CD и всю цепочку поставок.
- Preinstall-пersistence ломает доверие к сборке пакета - Microsoft предупреждает: подпись пакета не гарантирует чистоту пути сборки, атакующие использовали preinstall-хук для кражи учетных данных.
- TeamPCP показал, что доверенные пакеты могут быть опасны - Кампания TeamPCP скомпрометировала PyPI, npm и VS Code, показывая, что верификация издателя не гарантирует безопасность.
- Miasma показала предел доверия к цепочке поставок - Атака Miasma через легитимные npm-пакеты показала, что проверка происхождения сборки не защищает от захвата доверенной среды публикации.
- Miasma превращает npm-пакеты в червя для цепочки поставок - Атака Miasma внедрилась в npm-пакеты Red Hat и пытается распространяться через учётные данные разработчиков и CI/CD.
- 72 секунды до подмены: как взлом npm-прав изменил картину риска - 31 пакетов Red Hat в npm были подменены за 72 секунды. История не про GitHub, а про доверие к публикации в реестре.
- Вредоносный npm-пакет охотился за файлами Claude - Пакет mouse5212-super-formatter пытался украсть файлы из рабочей папки Claude и выгружал их через GitHub.
- Взлом AntV в npm: доверенный пакет украл доверие - Атака на аккаунт мейнтейнера AntV показала: знакомое имя, semver и подписи не спасают, если вредоносный код запускается при установке.
- TeamPCP бьёт через доверенные каналы разработчиков - SANS ISC описывает волну TeamPCP: VS Code, PyPI и npm. Риск не только в пакетах, а в доверенных путях обновления и публикации.
- TrapDoor превращает инструменты разработчика в ловушки для секретов - TrapDoor крадет токены, ключи, кошельки и cloud-секреты через npm, PyPI и Crates.io. Под ударом crypto, DeFi и AI-разработчики.
- TrapDoor охотится за секретами разработчиков - Socket описала кампанию TrapDoor: вредоносные пакеты в npm, PyPI и Crates.io крадут токены, ключи, кошельки и доступы разработчиков.
- Mini Shai-Hulud ударил по npm и доверию в CI - Новая supply-chain-кампания затронула сотни пакетов, GitHub Actions и CI-секреты. Что проверить командам прямо сейчас.
- Shai-Hulud бьет по доверию к мейнтейнерам - Sonatype описывает новую волну npm-компрометаций: атаковали не имена пакетов, а доверенный доступ мейнтейнеров.
- Скомпрометированные npm-пакеты угрожали секретам CI/CD - Microsoft описала атаку на пакеты @antv в npm: вредоносный preinstall был нацелен на секреты GitHub Actions, облаков и хранилищ.
- npm-пакеты AntV пострадали из-за взлома аккаунта мейнтейнера - Snyk сообщает о более чем 300 вредоносных версиях в 323 npm-пакетах AntV после компрометации аккаунта мейнтейнера.
- TeamPCP снова бьет по build chain - TeamPCP активизировалась: подтвержден компромисс Checkmarx Jenkins plugin и замечен worm Mini Shai-Hulud в npm и PyPI.
- node-ipc в npm был подменён — целью стали credentials - В новые версии node-ipc в npm внедрили malware для кражи credentials. Это supply-chain риск, который может затронуть разработку, CI и downstream-проекты.
- SAP npm-пакеты пострадали от Bun-based stealer - Snyk: вредоносные версии SAP npm-пакетов загружали Bun и запускали credential stealer с признаками self-propagation.
- Компрометация node-ipc снова проверяет доверие к npm на прочность - Socket обнаружила вредоносные версии node-ipc в npm. Разработчикам стоит проверить зависимости, CI и секреты.
- node-ipc в npm крал секреты - В npm опубликовали вредоносные версии node-ipc: payload крал секреты с машин разработчиков и CI runners.
- Взлом пакетов TanStack показывает пределы trusted publishing - Компрометация TanStack показала: trusted publishing и OIDC не спасают, если атакующий уже выполняет код внутри CI.
- Когда worm попадает в npm, scripts становятся зоной поражения - Атака на npm показала: блокировка install-time scripts и контроль dependencies меняют риск до запуска malicious code.
- pnpm 11 включает защиту supply chain по умолчанию - pnpm 11 включает более безопасные установки по умолчанию: 24-часовую задержку релизов, блокировку exotic subdeps и контроль build scripts.