👋🏻 Привет! С вами снова Merion Academy - платформа доступного IT образования. Эта статья послужит хорошим руководством по вашему любимому верному спутнику Node.js – npm. Node.js штурмует мир с 2009 года. Сотни тысяч систем были построены с помощью Node.js, что побудило сообщество разработчиков заявить, что «JavaScript поглощает программное обеспечение». Одним из составляющий успеха Node стал npm – его популярный диспетчер пакетов, который позволяет разработчикам JavaScript быстро и легко обмениваться полезными пакетами, такими как lodash и moment...

В экосистеме npm обнаружен сложный атакующий сценарий, в рамках которого злоумышленник использовал пакет-омограф crypto-javascri для кражи учетных данных npm и GitHub, а затем — скомпрометированные аккаунты разработчиков для скрытого переиздания троянизированных пакетов. Финальной нагрузкой стала вооруженная версия клиента Arti Tor, совмещающая кражу учетных данных, persistence и C2 через Tor, что существенно усложняет обнаружение и блокировку атаки. По данным отчета, злоумышленник 11 мая 2026 года зарегистрировал вредоносный пакет с ошибкой в один символ относительно широко используемой библиотеки crypto-js...