Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStackЦепочка поставок как вектор атаки11 мая 2026 года, в промежутке с 19:20 до 19:26 UTC, произошло одно из наиболее технически изощрённых событий в истории атак на цепочку поставок npm. Группировка TeamPCP опубликовала 84 вредоносные версии…
npm pack ignores root-level .gitignore and .npmignore file exclusion directives when run in a workspace or with a workspace flag (ie. `--workspaces`, `--workspace=<name>`). Anyone who has run `npm pack` or `npm publish` inside a workspace, as of v7.9.0 and v7.13.0 respectively, may be affected and have published files into the npm registry they did not intend to include. Users should upgrade to the latest, patched version of npm v8.11.0, run: npm i -g npm@latest . Node.js versions v16.15.1, v17.19.1,
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с…
Киберугрозы в 2024: взломы, которые пришли не снаружи, а через тех, кому вы доверяете:Цепочки поставок под прицелом — рост атак на 68%Взлом Polyfill.io, атака на Snowflake, кампания Volt TyphoonУдар по критической инфраструктуре, облакам и DevOpsЗлоумышленники теперь не ломают двери — они входят по пропуску. Узнайте, почему в 2025 кибербезопасность цепочек поставок станет серьезным фронтом войны в цифре. Читай вторую часть отчета CyberProof