Più di 140 pacchetti nel namespace Mastra sono stati segnalati come parte di una compromissione della supply chain, con una dipendenza di typosquatting, easy-day-js, usata in un modo che poteva adattarsi alla consegna di malware al momento dell'installazione.
La gestione da parte di GitHub di due segnalazioni di vulnerabilità è ora al centro di un avvertimento più ampio su come fiducia nei pacchetti, credenziali dei maintainer e automazione all'installazione possano collidere negli ecosistemi open source.
Un’identità di collaboratore dirottata e un’impennata nella pubblicazione di pacchetti hanno trasformato l’ecosistema @mastra/* in un avvertimento sulla supply chain per chiunque distribuisca JavaScript o TypeScript su larga scala.
Le modifiche legate a GitHub in npm si concentrano su tre cambiamenti guidati dalla sicurezza che rendono il comportamento non sicuro dei pacchetti meno automatico e più deliberato.
Una presunta campagna della supply chain su AUR mostra come i cambi di proprietà dei pacchetti, gli hook di installazione e gli strumenti cross-ecosystem possano trasformare la comodità per gli sviluppatori in un percorso di intrusione furtivo.
Una prossima modifica predefinita impedirà l'esecuzione degli script delle dipendenze durante <code>npm install</code> a meno che non siano esplicitamente autorizzati, spostando una decisione di fiducia di lunga data da automatica a deliberata.
Un piccolo gruppo di pacchetti npm malevoli mostra come gli script eseguiti durante l'installazione possano trasformare la fiducia nelle dipendenze in una via verso il furto dei segreti di Ethereum.
Pacchetti malevoli simili nell'ecosistema npm possono trasformare le normali installazioni di dipendenze in un evento di esecuzione nella supply chain per i team Web3 e gli operatori di wallet crypto.
Una campagna di furto di credenziali basata su pacchetti mostra quanto rapidamente i registri fidati possano diventare punti di ingresso quando gli attaccanti mascherano il malware da correzione di build o helper per SDK.
Una campagna di pacchetti a tema Solana mostra come le installazioni da npm e PyPI possano diventare un canale di distribuzione per codice che si esegue prima ancora che uno sviluppatore apra la libreria.
La prossima modifica di GitHub a npm v12 sposta l'installazione dei pacchetti verso un'approvazione esplicita, riducendo un percorso comune per abusi della supply chain ed esecuzione di codice inattesa.
Una prossima release di npm rafforzerà il comportamento di installazione dei pacchetti, trasformando una scorciatoia consolidata per l'esecuzione di codice in una decisione di sicurezza sottoposta a revisione.
GitHub sta orientando npm verso un'approvazione esplicita per il codice eseguito durante l'installazione, un cambiamento di default apparentemente piccolo che potrebbe contare molto per la difesa della supply chain software.
Un pacchetto npm malevolo trovato all'interno di strumenti per sviluppatori mostra come l'abuso della supply chain possa iniziare prima ancora che un'app venga lanciata, trasformando le installazioni di routine in eventi di esecuzione ad alto rischio.
Il caso dbmux mostra perché un'installazione di pacchetti di routine può diventare un evento di esecuzione, non un semplice download passivo, con gli endpoint degli sviluppatori che rappresentano un punto di ingresso di alto valore per abusi più ampi della supply chain.
Oltre 100 pacchetti sono stati colpiti in una nuova ondata della supply chain, con Miasma e Hades emersi come gli ultimi nomi in una campagna auto-propagante.
Un pacchetto npm malevolo è stato usato in un percorso di attacco dimostrato che ha reindirizzato le integrazioni di Claude Code e ha messo nel mirino i token bearer OAuth.
Una campagna malevola su npm mostra come le normali installazioni di dipendenze possano trasformarsi in un canale segreto di raccolta di segreti nei sistemi degli sviluppatori, con workflow crypto e Web3 che comportano rischi sproporzionati.
Una campagna IronWorm segnalata mette pacchetti npm malevoli, accesso a GitHub e credenziali degli sviluppatori nello stesso percorso d'attacco, con i team crypto e web3 nel mirino.
Una compromissione di pacchetti in rapida evoluzione mostra come l'identità del registry, gli script di lifecycle e i file di build nativi possano trasformare l'installazione di una dipendenza in un percorso di esecuzione.