Lunedi 06 Luglio 2026 05:49:47 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

#NPM


108 build avvelenati, una trappola condivisa: la nuova ondata di supply chain cross-ecosistema

Pubblicato: 04 Luglio 2026 14:07Categoria: Malware e botnetArea: Asia / Corea del NordAutore: IRONQUERY

Una campagna collegata a PolinRider ha inserito pacchetti malevoli ed estensioni del browser in npm, Packagist, Go e Google Chrome, mostrando come un unico modello di distribuzione possa attraversare sistemi di fiducia molto diversi.

Quando un aggiornamento di una dipendenza diventa una porta d'ingresso: PolinRider e la trappola della fiducia nell'open source

Pubblicato: 03 Luglio 2026 10:42Categoria: Guerra informatica e operazioni di Stato-nazioneArea: Asia / Corea del NordAutore: AGONY

Una campagna supply chain legata a PolinRider mostra come gli ecosistemi di pacchetti possano trasformare il lavoro di sviluppo di routine in un percorso di esecuzione ad alto rischio.

Le chiavi di rilascio fidate trasformate in un’arma della supply chain

Pubblicato: 03 Luglio 2026 08:16Categoria: CybercrimeArea: North America / USAAutore: VULNCRUSADER

Un takeover dell’account di un maintainer può fare più danni di un singolo file malevolo, soprattutto quando una sola pipeline di pubblicazione raggiunge più ecosistemi software contemporaneamente.

Pacchetti malevoli prendono la via dell'editor: codice npm e Go abusano delle attività di VS Code per restare nascosti

Pubblicato: 29 Giugno 2026 10:57Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Una compromissione della catena di pacchetti può fare più che inserire codice dannoso - può trasformare gli stessi strumenti di sviluppo nel percorso di esecuzione per uno stealer di informazioni Python multipiattaforma.

La fiducia nei pacchetti sotto assedio: l'ultima mossa di Miasma attraversa npm, GitHub Actions e Go

Pubblicato: 26 Giugno 2026 17:38Categoria: Malware e botnetAutore: SIGNALMONK

L'ultima attività della supply chain legata a Miasma mostra come un singolo rilascio avvelenato possa mettere sotto pressione più livelli di fiducia contemporaneamente, dai registri dei pacchetti all'automazione delle build.

La fiducia nell'open source sotto pressione mentre l'ondata di pacchetti npm arriva in Go

Pubblicato: 26 Giugno 2026 10:25Categoria: CybercrimeAutore: CRYSTALPROXY

Una campagna legata alla supply chain e a più etichette di malware sta testando quanto a lungo gli strumenti per sviluppatori possano essere spinti prima che i normali aggiornamenti delle dipendenze diventino eventi di sicurezza.

I pacchetti npm affidabili diventano la porta d'accesso in una silenziosa campagna di raccolta segreti

Pubblicato: 26 Giugno 2026 08:03Categoria: Malware & BotnetArea: North America / USAAutore: SIGNALMONK

Un'ondata di pacchetti avvelenati legata a Mini Shai-Hulud, Miasma e Hades sta spingendo il rischio della supply chain nel cuore delle workstation degli sviluppatori e delle pipeline CI/CD.

Venti pacchetti npm, una catena di fiducia fragile: cosa rivela l'incidente Leo/RStreams

Pubblicato: 25 Giugno 2026 14:34Categoria: CybercrimeAutore: VULNCRUSADER

Una nuova compromissione del registro dei pacchetti in un ecosistema di streaming orientato ad AWS mostra quanto rapidamente un aggiornamento di dipendenza possa diventare un rischio per l'infrastruttura.

La botola nascosta di npm: come i pacchetti malevoli possono sfruttare node-gyp per colpire i segreti degli sviluppatori

Pubblicato: 25 Giugno 2026 12:07Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Un'esca nella supply chain nascosta nelle fasi di installazione e build dei pacchetti può trasformare il normale lavoro di sviluppo in una finestra di esecuzione per il furto di credenziali, soprattutto quando i team si fidano troppo in fretta dei metadati dei componenti nativi.

npm Lookalikes Put PostCSS Trust Chains on the Hook for Chrome Passwords

Published: 24 June 2026 16:09Category: Malware & BotnetsAuthor: IRONQUERY

A deceptive package name can be enough to turn a routine JavaScript install into a staged Windows malware chain with browser-credential risk.

Il caso di estorsione di Grafana limitato a GitHub mostra dove si rompono davvero le difese della supply chain

Pubblicato: 24 Giugno 2026 14:32Categoria: Ransomware ed estorsioneArea: Nord America / USAAutore: HEXSENTINEL

Un incidente di estorsione contenuto ricorda che controllo del codice sorgente, flussi di release e segreti del repository possono contare quanto i server di produzione.

Finti pacchetti PostCSS hanno trasformato una normale installazione npm in un rischio RAT per Windows

Pubblicato: 24 Giugno 2026 10:44Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Tre pacchetti npm dall'aspetto simile, rivolti agli sviluppatori frontend, evidenziano come la fiducia nel nome del pacchetto e l'esecuzione al momento dell'installazione possano scontrarsi su una postazione di sviluppo.

Pacchetti npm simili trasformano una ricerca CSS in una trappola per la supply chain

Pubblicato: 23 Giugno 2026 12:19Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Un piccolo gruppo di pacchetti npm a tema PostCSS mostra come la confusione dei nomi e la fiducia al momento dell'installazione possano trasformare il normale lavoro sulle dipendenze in un rischio di malware per Windows.

Un nome npm quasi identico, poi una catena di script Windows: la trappola della supply chain dietro il rilascio di un RAT

Pubblicato: 22 Giugno 2026 14:52Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un pacchetto typosquatted nell'ecosistema npm mostra come un singolo nome fuorviante possa offrire agli aggressori un percorso dall'installazione di una dipendenza all'esecuzione nativa su Windows.

Il percorso npm di Mastra trasforma un aggiornamento di pacchetto in un rischio per estensioni crypto

Pubblicato: 22 Giugno 2026 14:14Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Una dipendenza malevola trovata in oltre 140 pacchetti Mastra mostra come un incidente della supply chain software possa spostarsi dagli strumenti di build alle superfici di criptovaluta rivolte al browser.

Un pacchetto npm simile ha trasformato un nome CSS fidato in un canale per malware Windows

Pubblicato: 22 Giugno 2026 14:07Categoria: Malware e botnetArea: Nord America / USAAutore: IRONQUERY

Un nome di pacchetto ingannevole nell'orbita di PostCSS mostra come la fiducia nell'open source possa essere abusata prima ancora che il codice raggiunga la produzione.

Un'identità npm dirottata può avvelenare un'intera catena di dipendenze

Pubblicato: 22 Giugno 2026 10:28Categoria: CybercrimeArea: North America / USAAutore: CIPHERWARDEN

Un takeover dell'account di un maintainer legato a pacchetti Mastra compromessi mostra come i registry di pacchetti possano diventare sistemi di distribuzione di malware quando la fiducia nel pubblicatore viene infranta.

Quando un pacchetto affidabile diventa tossico: l'intrusione npm di Mastra

Pubblicato: 22 Giugno 2026 10:12Categoria: Malware e botnetArea: Nord America / Stati UnitiAutore: NEXUSGUARDIAN

Un percorso di manutenzione dirottato, un pacchetto typosquat e due payload molto diversi mostrano come l'abuso della supply chain possa andare ben oltre un singolo namespace.

Quando un registro di pacchetti diventa un punto cieco per i costruttori di AI

Pubblicato: 20 Giugno 2026 18:48Categoria: Guerra cibernetica e operazioni di Stati nazionaliArea: Nord America / USAAutore: AGONY

L’attribuzione da parte di Microsoft di una compromissione npm legata a Mastra AI a Sapphire Sleet mostra come un incidente nella supply chain software possa propagarsi negli strumenti per sviluppatori molto prima che qualcuno noti una build malevola.

Quando i pacchetti affidabili diventano tossici: l'incidente Mastra npm e il nuovo volto del furto di credenziali

Pubblicato: 17 Giugno 2026 17:38Categoria: Malware e botnetArea: Nord America / USAAutore: NEXUSGUARDIAN

Sono stati segnalati compromessi oltre 140 pacchetti npm legati all'ecosistema Mastra AI, a dimostrazione di come una singola dipendenza avvelenata possa diventare un canale di distribuzione per gli infostealer.