Lunedi 06 Luglio 2026 07:59:10 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#NPM


La fiducia nel namespace si è rotta per prima: la storia della supply chain npm nascosta dentro Mastra

Pubblicato: 17 Giugno 2026 17:17Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Più di 140 pacchetti nel namespace Mastra sono stati segnalati come parte di una compromissione della supply chain, con una dipendenza di typosquatting, easy-day-js, usata in un modo che poteva adattarsi alla consegna di malware al momento dell'installazione.

Quando un bug report respinto incontra un worm di pacchetti capace di auto-propagarsi

Pubblicato: 17 Giugno 2026 13:21Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

La gestione da parte di GitHub di due segnalazioni di vulnerabilità è ora al centro di un avvertimento più ampio su come fiducia nei pacchetti, credenziali dei maintainer e automazione all'installazione possano collidere negli ecosistemi open source.

Un namespace npm affidabile è diventato l’anello debole in una catena di build AI

Pubblicato: 17 Giugno 2026 10:13Categoria: CybercriminalitàArea: Nord America / USAAutore: CIPHERWARDEN

Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.

npm alza il ponte levatoio mentre aumenta la pressione sulla supply chain

Pubblicato: 16 Giugno 2026 02:04Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

Le modifiche legate a GitHub in npm si concentrano su tre cambiamenti guidati dalla sicurezza che rendono il comportamento non sicuro dei pacchetti meno automatico e più deliberato.

Quando uno script di build fidato si trasforma in una catena di distribuzione di malware

Pubblicato: 14 Giugno 2026 04:02Categoria: Malware & BotnetAutore: IRONQUERY

Una presunta campagna della supply chain su AUR mostra come i cambi di proprietà dei pacchetti, gli hook di installazione e gli strumenti cross-ecosystem possano trasformare la comodità per gli sviluppatori in un percorso di intrusione furtivo.

npm 12 Irrigidisce i controlli sugli script delle dipendenze

Pubblicato: 13 Giugno 2026 18:02Categoria: Tecnologia, Innovazione e Infrastruttura DigitaleArea: America del Nord / USAAutore: TRUSTBREAKER

Una prossima modifica predefinita impedirà l'esecuzione degli script delle dipendenze durante <code>npm install</code> a meno che non siano esplicitamente autorizzati, spostando una decisione di fiducia di lunga data da automatica a deliberata.

Undici pacchetti npm hanno trasformato un'installazione di routine in una trappola per il furto di wallet

Pubblicato: 12 Giugno 2026 14:45Categoria: Malware & BotnetsArea: North America / USAAutore: IRONQUERY

Un piccolo gruppo di pacchetti npm malevoli mostra come gli script eseguiti durante l'installazione possano trasformare la fiducia nelle dipendenze in una via verso il furto dei segreti di Ethereum.

Il typosquatting su npm trasforma le installazioni dei pacchetti in un rischio per i wallet

Pubblicato: 12 Giugno 2026 14:34Categoria: CybercrimeArea: North America / USAAutore: VULNCRUSADER

Pacchetti malevoli simili nell'ecosistema npm possono trasformare le normali installazioni di dipendenze in un evento di esecuzione nella supply chain per i team Web3 e gli operatori di wallet crypto.

Falsi fix, rischio reale: come una trappola nella supply chain da 25 pacchetti ha preso di mira gli sviluppatori Solana

Pubblicato: 12 Giugno 2026 10:17Categoria: Crimine informaticoArea: America del Nord / USAAutore: CIPHERWARDEN

Una campagna di furto di credenziali basata su pacchetti mostra quanto rapidamente i registri fidati possano diventare punti di ingresso quando gli attaccanti mascherano il malware da correzione di build o helper per SDK.

I pacchetti typosquatted trasformano i tool di sviluppo fidati in un percorso di raccolta segreti

Pubblicato: 12 Giugno 2026 08:12Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna di pacchetti a tema Solana mostra come le installazioni da npm e PyPI possano diventare un canale di distribuzione per codice che si esegue prima ancora che uno sviluppatore apra la libreria.

La nuova porta di fiducia di npm: gli script di installazione passano da automatici a deliberati

Pubblicato: 11 Giugno 2026 19:15Categoria: Vulnerabilità e gestione delle patchArea: Nord America / USAAutore: NEONPALADIN

La prossima modifica di GitHub a npm v12 sposta l'installazione dei pacchetti verso un'approvazione esplicita, riducendo un percorso comune per abusi della supply chain ed esecuzione di codice inattesa.

Il prossimo blocco di npm: GitHub sposta la fiducia all'installazione dietro un gate di approvazione

Pubblicato: 11 Giugno 2026 14:17Categoria: Ricerca, exploit e sicurezza offensivaArea: Nord America / USAAutore: PATCHVIPER

Una prossima release di npm rafforzerà il comportamento di installazione dei pacchetti, trasformando una scorciatoia consolidata per l'esecuzione di codice in una decisione di sicurezza sottoposta a revisione.

La prossima impostazione predefinita di npm potrebbe rompere il vecchio trucco dell'esecuzione silenziosa degli script

Pubblicato: 11 Giugno 2026 11:53Categoria: Tecnologia, Innovazione e Infrastruttura DigitaleArea: Nord America / USAAutore: SECPULSE

GitHub sta orientando npm verso un'approvazione esplicita per il codice eseguito durante l'installazione, un cambiamento di default apparentemente piccolo che potrebbe contare molto per la difesa della supply chain software.

Quando l'installazione di un pacchetto diventa la violazione: dbmux e il nuovo problema di fiducia

Pubblicato: 10 Giugno 2026 16:49Categoria: Malware e botnetArea: America del Nord / USAAutore: SIGNALMONK

Un pacchetto npm malevolo trovato all'interno di strumenti per sviluppatori mostra come l'abuso della supply chain possa iniziare prima ancora che un'app venga lanciata, trasformando le installazioni di routine in eventi di esecuzione ad alto rischio.

Un pacchetto npm rogue ha messo nel mirino le macchine degli sviluppatori

Pubblicato: 10 Giugno 2026 10:13Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Il caso dbmux mostra perché un'installazione di pacchetti di routine può diventare un evento di esecuzione, non un semplice download passivo, con gli endpoint degli sviluppatori che rappresentano un punto di ingresso di alto valore per abusi più ampi della supply chain.

Shai-Hulud ritorna con un raggio d'impatto più ampio su npm e PyPI

Pubblicato: 09 Giugno 2026 14:21Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Oltre 100 pacchetti sono stati colpiti in una nuova ondata della supply chain, con Miasma e Hades emersi come gli ultimi nomi in una campagna auto-propagante.

Quando un pacchetto diventa un proxy: la trappola del token MCP di Claude Code

Pubblicato: 08 Giugno 2026 06:08Categoria: Sicurezza cloud, SaaS e identitàArea: Nord America / USAAutore: SHADOWFIREWALL

Un pacchetto npm malevolo è stato usato in un percorso di attacco dimostrato che ha reindirizzato le integrazioni di Claude Code e ha messo nel mirino i token bearer OAuth.

Quando l'installazione di un pacchetto diventa ostile: la lezione di IronWorm per gli sviluppatori

Pubblicato: 04 Giugno 2026 17:52Categoria: Malware e botnetArea: North America / USAAutore: NEXUSGUARDIAN

Una campagna malevola su npm mostra come le normali installazioni di dipendenze possano trasformarsi in un canale segreto di raccolta di segreti nei sistemi degli sviluppatori, con workflow crypto e Web3 che comportano rischi sproporzionati.

Un worm di pacchetto, un login rubato e una supply chain che continua a diffondersi

Pubblicato: 04 Giugno 2026 17:15Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una campagna IronWorm segnalata mette pacchetti npm malevoli, accesso a GitHub e credenziali degli sviluppatori nello stesso percorso d'attacco, con i team crypto e web3 nel mirino.

Il punto debole silenzioso di npm: quando l'accesso dei maintainer e gli hook di build trasformano un pacchetto in payload

Pubblicato: 04 Giugno 2026 17:08Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una compromissione di pacchetti in rapida evoluzione mostra come l'identità del registry, gli script di lifecycle e i file di build nativi possano trasformare l'installazione di una dipendenza in un percorso di esecuzione.