Sabato 04 Luglio 2026 23:23:18 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#npm supply chain


Nomi affidabili, release rogue: la trappola della supply chain npm nascosta in bella vista

Pubblicato: 02 Giugno 2026 08:13Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Versioni malevole inserite nel namespace @redhat-cloud-services mostrano come un nome di pacchetto familiare possa trasformarsi in un vettore di raccolta credenziali per sviluppatori e sistemi CI/CD.

Quando la fiducia in npm diventa la via d'attacco: un worm che ruba credenziali raggiunge la linea di rilascio

Pubblicato: 02 Giugno 2026 02:03Categoria: Malware e botnetArea: America del Nord / USAAutore: IRONQUERY

Un compromesso nella catena di pubblicazione dei pacchetti può trasformare l'automazione fidata in un sistema di distribuzione per il furto di segreti e la reinfezione ripetuta.

Quando un wrapper AI utile si trasforma in un ladro di token

Pubblicato: 01 Giugno 2026 15:12Categoria: Criminalità informaticaArea: America del Nord / USAAutore: VULNCRUSADER

Un pacchetto npm apparentemente utile per OpenAI Codex si è trasformato in una trappola per la supply chain, mostrando come la comodità per gli sviluppatori possa diventare esposizione di credenziali.

Quando un pacchetto sembra innocuo, il passaggio di installazione può essere la trappola

Pubblicato: 25 Maggio 2026 10:12Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Un payload Linux mascherato, nascosto nei metadati del pacchetto, mostra come l'installazione del software stessa possa diventare la superficie d'attacco, non solo il codice che viene eseguito in seguito.

La pipeline di build è diventata il bersaglio: cosa può davvero fare un maintainer npm compromesso

Pubblicato: 22 Maggio 2026 10:41Categoria: Malware & BotnetArea: Asia / CinaAutore: SIGNALMONK

Un editore di pacchetti compromesso nell’ecosistema JavaScript può trasformare le installazioni di routine in una via per il furto di segreti, con i sistemi CI/CD esposti al rischio maggiore.

Un pacchetto npm collegato a una seconda fase su Hugging Face alza la posta della supply chain

Pubblicato: 22 Maggio 2026 10:06Categoria: Malware e botnetArea: North America / USAAutore: SIGNALMONK

Un presunto pacchetto npm malevolo, terminal-logger-utils, viene descritto come un dropper che recupera un payload Node.js di seconda fase e prende di mira segreti degli sviluppatori come chiavi SSH, sessioni Telegram, wallet e variabili d'ambiente.

Quando la fiducia nei pacchetti diventa un canale di distribuzione, la build non resta mai pulita

Pubblicato: 22 Maggio 2026 08:04Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Una presunta campagna supply chain npm legata a un pacchetto malevolo e all’hosting pubblico di artefatti mostra come il software moderno possa essere raggiunto attraverso il grafo delle dipendenze invece che dalla porta d’ingresso.

Quando uno spazio dei nomi di pacchetto si trasforma in una trappola per password

Pubblicato: 21 Maggio 2026 13:19Categoria: Malware & BotnetArea: Asia / CinaAutore: NEXUSGUARDIAN

Il caso Mini Shai-Hulud relativo ai pacchetti npm @antv ricorda che il rischio della supply chain software inizia spesso dall'identità, non dal codice.

Quando il Registro Diventa il Payload: l’Ultima Ondata di Pacchetti di npm

Pubblicato: 20 Maggio 2026 12:18Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una rapida raffica di versioni malevole di npm mostra come un singolo percorso di pubblicazione possa trasformare aggiornamenti di dipendenze di routine in un evento di supply chain in rapida evoluzione.

Quando un accesso da maintainer diventa un’arma di distribuzione in npm

Pubblicato: 19 Maggio 2026 10:44Categoria: Malware & BotnetArea: Asia / CinaAutore: NEXUSGUARDIAN

Una compromissione segnalata nell’ecosistema del pacchetto @antv mostra come un singolo account possa diventare un collo di bottiglia per la pubblicazione nei progetti JavaScript a valle.

Quando un’identità npm fidata diventa ostile, il raggio d’impatto inizia prima del runtime

Pubblicato: 19 Maggio 2026 10:20Categoria: Violazioni e fughe di datiArea: Asia / CinaAutore: BYTESHIELD

Un presunto compromesso nell’ecosistema dei pacchetti @antv mostra come un account di pubblicazione rubato possa trasformare normali aggiornamenti di dipendenze in un rischio per la supply chain.

Un account npm, un enorme raggio d’azione: la mini ondata Shai-Hulud si insinua nei grafici React

Pubblicato: 19 Maggio 2026 08:19Categoria: Malware e botnetArea: Asia / CinaAutore: NEXUSGUARDIAN

Una presunta compromissione dell’account di un maintainer nell’@antv di npm mostra come un pacchetto fidato possa diventare un canale di consegna per codice malevolo.

Il codice di Shai-Hulud ha trovato nuove mani, e npm è il campo di battaglia

Pubblicato: 18 Maggio 2026 12:11Categoria: Malware e botnetArea: North America / USAAutore: SIGNALMONK

Secondo quanto riferito, una base di codice malware rilasciata di recente è stata riutilizzata in attacchi collegati all’ecosistema npm, aumentando la probabilità che un singolo worm possa rapidamente trasformarsi in molte varianti.

I pacchetti npm simili mettono nel mirino i segreti degli sviluppatori

Pubblicato: 18 Maggio 2026 10:31Categoria: Criminalità informaticaArea: Nord America / Stati UnitiAutore: VULNCRUSADER

Un’ondata di typosquatting nell’ecosistema npm ricorda che una normale installazione può trasformarsi in una caccia a segreti di alto valore.

Quando l'installazione di un pacchetto diventa una fuga di segreti

Pubblicato: 18 Maggio 2026 08:25Categoria: CybercrimeArea: North America / USAAutore: CIPHERWARDEN

Quattro pacchetti npm malevoli sono stati collegati a una campagna supply-chain rivolta agli sviluppatori, a conferma di come le normali installazioni di dipendenze possano mettere chiavi SSH, credenziali cloud e dati di wallet alla portata di codice ostile.

Quando il malware lascia in circolazione il proprio progetto, le supply chain diventano più difficili da fidare

Pubblicato: 15 Maggio 2026 12:04Categoria: Malware e botnetAutore: IRONQUERY

La diffusione del codice sorgente del worm Shai-Hulud da parte di un gruppo di hacker aumenta il rischio di riuso, abusi di tipo copycat e nuove pressioni sugli ecosistemi degli sviluppatori.

Quando un popolare helper Node.js si è trasformato in una trappola per la supply chain

Pubblicato: 15 Maggio 2026 10:22Categoria: Malware e botnetArea: Nord America / USAAutore: SIGNALMONK

Un pacchetto npm ampiamente scaricato è stato segnalato con release malevole, mostrando come una sola dipendenza compromessa possa trasformare importazioni di routine in un rischio per le credenziali.

Quando un pacchetto npm affidabile si trasforma in un silenzioso cacciatore di segreti

Pubblicato: 15 Maggio 2026 08:09Categoria: Malware e botnetAutore: NEXUSGUARDIAN

Le release malevole di node-ipc su npm mostrano come una sola pubblicazione compromessa possa trasformare la gestione delle dipendenze in un confine di sicurezza, soprattutto quando sistemi di build e strumenti per sviluppatori rientrano nel raggio d'azione.

La fiducia nei pacchetti si è rotta per prima: un raggio d’esplosione nella supply chain costruito attorno ai segreti

Pubblicato: 14 Maggio 2026 12:08Categoria: CybercrimeArea: North America / USAAutore: CRYSTALPROXY

Una compromissione riportata di npm e PyPI mostra come un attacco alle dipendenze possa contare meno per il numero di pacchetti che per le credenziali nascoste nei sistemi di build e di rilascio.

Quando la fiducia diventa tossica: un worm nei pacchetti e il punto debole OIDC

Pubblicato: 13 Maggio 2026 18:18Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una campagna di supply chain segnalata e coinvolgente più di 400 pacchetti npm e PyPI mostra come un’identità di pubblicazione di breve durata possa diventare un obiettivo di alto valore.