Una campagna legata alla supply chain e a più etichette di malware sta testando quanto a lungo gli strumenti per sviluppatori possano essere spinti prima che i normali aggiornamenti delle dipendenze diventino eventi di sicurezza.
Una nuova compromissione del registro dei pacchetti in un ecosistema di streaming orientato ad AWS mostra quanto rapidamente un aggiornamento di dipendenza possa diventare un rischio per l'infrastruttura.
A deceptive package name can be enough to turn a routine JavaScript install into a staged Windows malware chain with browser-credential risk.
Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.
Un piccolo gruppo di pacchetti npm a tema PostCSS mostra come la confusione dei nomi e la fiducia al momento dell'installazione possano trasformare il normale lavoro sulle dipendenze in un rischio di malware per Windows.
Una dipendenza malevola trovata in oltre 140 pacchetti Mastra mostra come un incidente della supply chain software possa spostarsi dagli strumenti di build alle superfici di criptovaluta rivolte al browser.
Un nome di pacchetto ingannevole nell'orbita di PostCSS mostra come la fiducia nell'open source possa essere abusata prima ancora che il codice raggiunga la produzione.
Un percorso di manutenzione dirottato, un pacchetto typosquat e due payload molto diversi mostrano come l'abuso della supply chain possa andare ben oltre un singolo namespace.
L’attribuzione da parte di Microsoft di una compromissione npm legata a Mastra AI a Sapphire Sleet mostra come un incidente nella supply chain software possa propagarsi negli strumenti per sviluppatori molto prima che qualcuno noti una build malevola.
Sono stati segnalati compromessi oltre 140 pacchetti npm legati all'ecosistema Mastra AI, a dimostrazione di come una singola dipendenza avvelenata possa diventare un canale di distribuzione per gli infostealer.
Più di 140 pacchetti nel namespace Mastra sono stati segnalati come parte di una compromissione della supply chain, con una dipendenza di typosquatting, easy-day-js, usata in un modo che poteva adattarsi alla consegna di malware al momento dell'installazione.
La gestione da parte di GitHub di due segnalazioni di vulnerabilità è ora al centro di un avvertimento più ampio su come fiducia nei pacchetti, credenziali dei maintainer e automazione all'installazione possano collidere negli ecosistemi open source.
Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.
Pacchetti malevoli simili nell'ecosistema npm possono trasformare le normali installazioni di dipendenze in un evento di esecuzione nella supply chain per i team Web3 e gli operatori di wallet crypto.
Una campagna di pacchetti a tema Solana mostra come le installazioni da npm e PyPI possano diventare un canale di distribuzione per codice che si esegue prima ancora che uno sviluppatore apra la libreria.
Un pacchetto npm malevolo è stato usato in un percorso di attacco dimostrato che ha reindirizzato le integrazioni di Claude Code e ha messo nel mirino i token bearer OAuth.
Una compromissione di pacchetti in rapida evoluzione mostra come l'identità del registry, gli script di lifecycle e i file di build nativi possano trasformare l'installazione di una dipendenza in un percorso di esecuzione.
Un rapido incidente nella catena dei pacchetti mostra come il plumbing di build nativo e gli hook in fase di installazione possano trasformare flussi di lavoro affidabili per gli sviluppatori in un rischio per la supply chain.
Sono stati segnalati come compromessi almeno 32 pacchetti in uno spazio dei nomi ufficiale di Red Hat, mostrando come una singola dipendenza avvelenata possa trasformare installazioni di routine in un evento di raccolta segreta di dati.
Un evento relativo a un pacchetto legato al namespace @redhat-cloud-services mostra perché un nome di registry familiare può essere un canale di consegna per codice malevolo, non una garanzia di integrità.