Новости: npm

Возможность использования злоумышленниками автоматического выполнения установочных скриптов в npm прекратится с изменениями от GitHub в июле. В версии V12 настройки по умолчанию будут блокировать эту функцию, хотя разработчики смогут ее включить вручную. — csoonline.com

Claude Code от Anthropic — ИИ-помощник для разработчиков, использующий MCP для подключения к Jira, GitHub и API. Исследователи Mitiga Labs обнаружили, что вредоносный пакет npm может перехватывать токены OAuth, перенаправляя трафик через незаметное изменение файла ~/.claude.json. — csoonline.com

Разработчики, загрузившие пакеты из npm-пространства Red Hat Cloud Services, обнаружили в них червя, крадущего секреты. Специалисты предупреждают об атаке на цепочку поставок, скомпрометировавшей более 30 пакетов для кражи учетных данных и токенов. — csoonline.com

Вредоносный пакет npm, маскировавшийся под удаленный интерфейс для OpenAI Codex, похищал токены аутентификации разработчиков. Исследователи Aikido обнаружили, что пакет codexui-android собирал токены и отправлял их на внешний сервер, что подчеркивает риски безопасности цепочки поставок ПО. — csoonline.com

Раскрытие Socket о кампании TrapDoor выявило более 34 вредоносных пакетов в npm, PyPI и Crates.io, нацеленных на разработчиков и их учетные данные. TrapDoor создала маршрут от скомпрометированной машины разработчика до репозиториев и CI/CD. — cryptoslate.com

Кампания вредоносных пакетов в npm, PyPI и Crates.io вновь привлекла внимание к рабочим станциям разработчиков. Исследователи Socket обнаружили, что кампания TrapDoor нацелена на рабочие процессы и файлы ИИ-помощников, охватывая более 34 пакетов. — csoonline.com

Microsoft’s GitHub has suffered what appears to be its biggest ever security breach after confirming that attackers exfiltrated code from around 3,800 of the company’s internal repositories. News of the incident first emerged on May 19, when GitHub said it was investigating “unauthorized access.” Hours later, the company’s X account confirmed the worst: “Yesterday we […] — csoonline.com

22 апреля примерно в течение 90 минут в npm появилась вредоносная версия Bitwarden CLI. Версия 2026.4.0 содержала полезную нагрузку для кражи учетных данных, которая выполняла обфусцированный загрузчик и собирала токены AWS, Azure, GCP, GitHub и npm с любого компьютера разработчика, на котором выполнялась команда npm install. Злоумышленники получили доступ к пути публикации Bitwarden в npm через скомпрометированный GitHub […] — csoonline.com

Крупнейший реестр npm снова атакован вредоносным ПО, на этот раз целью стал инструмент визуализации данных AntV. Атака, использующая червя Mini-Shai-Hulud, скомпрометировала сотни пакетов, похищая токены и учетные данные. — csoonline.com

Атаки являются частью более широкой кампании под названием Mini Shai-Hulud, которая уже скомпрометировала ряд проектов с открытым исходным кодом, а также разработчиков и компании, которые их используют. — techcrunch.com