Domenica 05 Luglio 2026 00:39:19 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#npm supply chain


La fiducia nell'open source sotto pressione mentre l'ondata di pacchetti npm arriva in Go

Pubblicato: 26 Giugno 2026 10:25Categoria: CybercrimeAutore: CRYSTALPROXY

Una campagna legata alla supply chain e a più etichette di malware sta testando quanto a lungo gli strumenti per sviluppatori possano essere spinti prima che i normali aggiornamenti delle dipendenze diventino eventi di sicurezza.

Venti pacchetti npm, una catena di fiducia fragile: cosa rivela l'incidente Leo/RStreams

Pubblicato: 25 Giugno 2026 14:34Categoria: CybercrimeAutore: VULNCRUSADER

Una nuova compromissione del registro dei pacchetti in un ecosistema di streaming orientato ad AWS mostra quanto rapidamente un aggiornamento di dipendenza possa diventare un rischio per l'infrastruttura.

npm Lookalikes Put PostCSS Trust Chains on the Hook for Chrome Passwords

Published: 24 June 2026 16:09Category: Malware & BotnetsAuthor: IRONQUERY

A deceptive package name can be enough to turn a routine JavaScript install into a staged Windows malware chain with browser-credential risk.

Finti pacchetti PostCSS hanno trasformato una normale installazione npm in un rischio RAT per Windows

Pubblicato: 24 Giugno 2026 10:44Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.

Pacchetti npm simili trasformano una ricerca CSS in una trappola per la supply chain

Pubblicato: 23 Giugno 2026 12:19Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Un piccolo gruppo di pacchetti npm a tema PostCSS mostra come la confusione dei nomi e la fiducia al momento dell'installazione possano trasformare il normale lavoro sulle dipendenze in un rischio di malware per Windows.

Il percorso npm di Mastra trasforma un aggiornamento di pacchetto in un rischio per estensioni crypto

Pubblicato: 22 Giugno 2026 14:14Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una dipendenza malevola trovata in oltre 140 pacchetti Mastra mostra come un incidente della supply chain software possa spostarsi dagli strumenti di build alle superfici di criptovaluta rivolte al browser.

Un pacchetto npm simile ha trasformato un nome CSS fidato in un canale per malware Windows

Pubblicato: 22 Giugno 2026 14:07Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un nome di pacchetto ingannevole nell'orbita di PostCSS mostra come la fiducia nell'open source possa essere abusata prima ancora che il codice raggiunga la produzione.

Quando un pacchetto affidabile diventa tossico: l'intrusione npm di Mastra

Pubblicato: 22 Giugno 2026 10:12Categoria: Malware e botnetArea: Nord America / Stati UnitiAutore: NEXUSGUARDIAN

Un percorso di manutenzione dirottato, un pacchetto typosquat e due payload molto diversi mostrano come l'abuso della supply chain possa andare ben oltre un singolo namespace.

Quando un registro di pacchetti diventa un punto cieco per i costruttori di AI

Pubblicato: 20 Giugno 2026 18:48Categoria: Guerra cibernetica e operazioni di Stati nazionaliArea: Nord America / USAAutore: AGONY

L’attribuzione da parte di Microsoft di una compromissione npm legata a Mastra AI a Sapphire Sleet mostra come un incidente nella supply chain software possa propagarsi negli strumenti per sviluppatori molto prima che qualcuno noti una build malevola.

Quando i pacchetti affidabili diventano tossici: l'incidente Mastra npm e il nuovo volto del furto di credenziali

Pubblicato: 17 Giugno 2026 17:38Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Sono stati segnalati compromessi oltre 140 pacchetti npm legati all'ecosistema Mastra AI, a dimostrazione di come una singola dipendenza avvelenata possa diventare un canale di distribuzione per gli infostealer.

La fiducia nel namespace si è rotta per prima: la storia della supply chain npm nascosta dentro Mastra

Pubblicato: 17 Giugno 2026 17:17Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Più di 140 pacchetti nel namespace Mastra sono stati segnalati come parte di una compromissione della supply chain, con una dipendenza di typosquatting, easy-day-js, usata in un modo che poteva adattarsi alla consegna di malware al momento dell'installazione.

Quando un bug report respinto incontra un worm di pacchetti capace di auto-propagarsi

Pubblicato: 17 Giugno 2026 13:21Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

La gestione da parte di GitHub di due segnalazioni di vulnerabilità è ora al centro di un avvertimento più ampio su come fiducia nei pacchetti, credenziali dei maintainer e automazione all'installazione possano collidere negli ecosistemi open source.

Un namespace npm affidabile è diventato l’anello debole in una catena di build AI

Pubblicato: 17 Giugno 2026 10:13Categoria: CybercriminalitàArea: Nord America / USAAutore: CIPHERWARDEN

Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.

Il typosquatting su npm trasforma le installazioni dei pacchetti in un rischio per i wallet

Pubblicato: 12 Giugno 2026 14:34Categoria: CybercrimeArea: North America / USAAutore: VULNCRUSADER

Pacchetti malevoli simili nell'ecosistema npm possono trasformare le normali installazioni di dipendenze in un evento di esecuzione nella supply chain per i team Web3 e gli operatori di wallet crypto.

I pacchetti typosquatted trasformano i tool di sviluppo fidati in un percorso di raccolta segreti

Pubblicato: 12 Giugno 2026 08:12Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna di pacchetti a tema Solana mostra come le installazioni da npm e PyPI possano diventare un canale di distribuzione per codice che si esegue prima ancora che uno sviluppatore apra la libreria.

Quando un pacchetto diventa un proxy: la trappola del token MCP di Claude Code

Pubblicato: 08 Giugno 2026 06:08Categoria: Sicurezza cloud, SaaS e identitàArea: Nord America / USAAutore: SHADOWFIREWALL

Un pacchetto npm malevolo è stato usato in un percorso di attacco dimostrato che ha reindirizzato le integrazioni di Claude Code e ha messo nel mirino i token bearer OAuth.

Il punto debole silenzioso di npm: quando l'accesso dei maintainer e gli hook di build trasformano un pacchetto in payload

Pubblicato: 04 Giugno 2026 17:08Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una compromissione di pacchetti in rapida evoluzione mostra come l'identità del registry, gli script di lifecycle e i file di build nativi possano trasformare l'installazione di una dipendenza in un percorso di esecuzione.

Quando un file di build diventa una rotta di consegna per l’avvelenamento di npm

Pubblicato: 04 Giugno 2026 16:31Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un rapido incidente nella catena dei pacchetti mostra come il plumbing di build nativo e gli hook in fase di installazione possano trasformare flussi di lavoro affidabili per gli sviluppatori in un rischio per la supply chain.

I pacchetti npm fidati sono diventati la botola nella supply chain di Red Hat

Pubblicato: 04 Giugno 2026 14:05Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Sono stati segnalati come compromessi almeno 32 pacchetti in uno spazio dei nomi ufficiale di Red Hat, mostrando come una singola dipendenza avvelenata possa trasformare installazioni di routine in un evento di raccolta segreta di dati.

Scoped, non sicuro: come un namespace npm fidato è diventato un rischio di furto di segreti

Pubblicato: 02 Giugno 2026 10:34Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Un evento relativo a un pacchetto legato al namespace @redhat-cloud-services mostra perché un nome di registry familiare può essere un canale di consegna per codice malevolo, non una garanzia di integrità.