RU

Protestware: пережитый тренд или устоявшаяся проблема?

В мире открытого кода термин protestware стал новым классом риска в цепочке поставки ПО: мейнтейнеры намеренно вносят изменения, чтобы выразить личную…

protestwareпротестное ПОopen sourceцепочка поставкизависимостиnpmPyPIкомпозиционный анализмейнтейнеры
Habr
RU

Vibe-coding и зависимости: как не дать Claude и Cursor затащить дырявый пакет

На прошлой неделе я попросил Claude Code добавить рендеринг markdown в проект. Через секунду в зависимостях появился flutter_markdown — нормальный пак…

slopsquattingsupply chainClaude CodeCursorvibe codingnpmpypiбезопасность зависимостей
Habr
RU

Мы спросили, багхантеры они или нет, они сказали «Нет»

Всем привет от команды DFIR JetCSIRT! Хотим поделиться с вами одним интересным кейсом, эмоции от которого прекрасно описывает обложка... Заказчик заво…

bugbountygitlabnpmdfirфорензикаforensicsинформационная безопасностьsocиббагхантинг
Habr
RU

[Перевод] Пакетным менеджерам пора ввести период охлаждения

Когда злоумышленник получает доступ к учетной записи мейнтейнера или захватывает заброшенный пакет, вредоносная версия может разойтись по тысячам прое…

пакетные менеджерызависимостиsupply chain securityopen sourcenpmPyPIRubyGemsDependabotRenovatedependency cooldown
Habr
RU

Как вредоносный код переписал мой Git-коммит и заразил десятки проектов и несколько рабочих машин

История о том, как один странный git push оказался началом расследования, которое вывело меня не на один взломанный аккаунт, а на цепочку зараженных р…

обфусцированный кодвредоносное повредоносный кодyarnnpmnodejspolinrider
Habr
RU

От боли к npm install: TDLib для React-Native, или как я делал проект, а получилась библиотека

Пришла мне как-то идея сделать мобильное приложение на базе Telegram. Полез в npm и сразу нашёл react-native-telegram , но это оказалась обёртка над B…

react nativetelegramtdlibразработка мобильных приложенийiosandroidopen sourcetypescriptnpmбиблиотека
Habr
RU

Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству

Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26…

devsecopsdevopsgrafanagithubинформационная безопасностьgithub actionsкибербезопасностьnpmransomwaresupply chain
Habr
RU

node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-…

node-ipcnpmsupply chain attackDNS tunnelingDNS exfiltrationSIEMDevSecOpsnpm securityNode.jscybersecurity
Habr